지난 14 년 동안 나는 전 세계를 돕는 관리,감사 및 보안 전문가는 방법을 이해하 도메인 비밀번호 정책에서 작품 활성 디렉토리에 있습니다. 기본 행동을 변경되지 않은 사람들에서의 14 년은,그래서 당신이 상상할 수 있는 얼마나 많은 사람들이 난 도와,언급하지 않는 방법에 대하여 말하고 있습니다.
그렇다면 왜 여기에 언급합니까?, 음,여전히 관리자 및 감사원이 도메인 암호 정책의 작동 방식을 이해하지 못하므로 아래에서 설명하겠습니다.
기본적으로 모든 설치에의 활성 디렉토리의 기본 도메인 정책을 설정합 도메인 비밀번호 정책(모든 사용자를 위해 구성되고 저장됩 Active 디렉토리,즉). 그림 1 은 이러한 구성의 모습과 당신이 그들을 찾을 수 있에서 기본 도메인 정책이 있습니다.
그림 1. 기본 도메인 정책 암호 정책.,
암호 정책이 작동하는 방식은이 GPO 와이 GPO 에 포함 된 설정이 도메인 컨트롤러(DCs)와 그 위에있는 Active Directory 데이터베이스를 구성한다는 것입니다. 책임의 Dc 및 데이터베이스에 위치한 그들이 필터는 각각 암호를 시도하여 데이터베이스에 기록할을 보장하기 위해,비밀번호 만족 암호 정책 설정합니다.
참고:그룹 정책을 사용하여,하나만 있을 수 있습니다 비밀번호 정책에 대한 도메인 사용자., GPO 를 ou 에 연결하고 구성하면 해당 OU 의 사용자에 대해 암호 정책이 다르게 구성되지 않습니다. 암호 정책 설정은 사용자 계정이 아닌 컴퓨터에 영향을 미칩니다(그림 1 참조)!
할 수있는 일은 새 GPO 를 만들어 도메인 수준에 연결하고 기본 도메인 정책보다 높은 우선 순위를 부여하는 것입니다. 이 새 GPO 의 설정(예:최소 암호 길이를 설정)은 우선 순위가 높기 때문에 기본 도메인 정책의 설정보다 우선합니다. 그림 2 에서 볼 수 있는 그룹 정책 관리 도구에서 우선 순위를 설정합니다.
그림 2., 도메인에 연결된 각 GPO 에는 다른 Gpo 에 비해 우선 순위가 있습니다.
를 원하는 경우 여러 비밀번호 정책에 동일한 도메인 중 하나 구입할 필요가 타사 제품이나 사용할 수 있는 세분화된 암호 정책입니다. 세분화 된 암호 정책은 암호 정책을 제어하는 Microsoft 기술이지만 그룹 정책을 배포 메커니즘으로 사용하지 않습니다.,
하는 감사는 효과적인 도메인 비밀번호 정책에,당신은 분명히 있습을 보이지 않에서 기본 도메인 정책을하기 때문에 다른 GPO 도메인에 연결되어 있는 서로 다른 암호 정책 설정에 포함된다는 것을 재정의 기본 도메인 정책이 있습니다. 그렇다면 도메인 컨트롤러에 저장된 도메인 사용자에 대한 효과적인 암호 정책을 올바르게 확인하는 방법은 무엇입니까?대답은 간단하고 내장 된 도구입니다! 이 도구는 secpol 입니다.msc 및 명령 프롬프트 또는 시작 버튼/검색 프로그램 및 파일 상자에서 모든 도메인 컨트롤러에서이를 실행할 수 있습니다., 그림 3 은 결과가 어떻게 생겼는지를 보여줍니다.
그림 3. 세콜.msc 는 컴퓨터의 실제 설정을 표시합니다.이 문제를 해결하려면 어떻게해야합니까?msc 도구를 사용하면 현재 암호 정책 설정이 도메인 사용자에 대해 무엇인지 100%확신으로 확인할 수 있습니다.
Active Directory 그룹 정책 개체에 대한 보고서를 관리하고 가져옵니다.
무료 다운로드
과립상 적용,그룹/OU-기초한 비밀번호 정책에 대한 광고 사용자.
무료 다운로드
의 변경 사항을 추적할 수 있습니 AD 그룹 정책체입니다.,
무료 다운로드