i Løpet av de siste 14 år, jeg har vært rundt i verden for å hjelpe administratorer, revisorer, og sikkerhet fagfolk forstå hvordan domene passord policy fungerer i Active Directory. Standard oppførsel ikke har endret seg i de 14 årene, slik at du kan forestille deg hvor mange mennesker jeg har hjulpet, for ikke å nevne hvor mange ganger jeg har snakket om det.
Så hvorfor nevne det her?, Vel, jeg fortsatt finne admins og revisorer ikke forstå hvordan domene passord policy fungerer, så la meg forklare det nedenfor.
som standard i hver installasjon av Active Directory, Standard domenepolicy etablerer domene passord policy (for alle brukere som er konfigurert og lagret i Active Directory, som er). Figur 1 illustrerer hva de konfigurasjoner ser ut og hvor du kan finne dem i Standard domenepolicy.
Figur 1. Standard domenepolicy passord policy.,
Den måten passord policy fungerer på, er at dette GPO og innstillingene som finnes på dette GPO konfigurere domenekontrollere (DCs) og Active Directory databaser som ligger på dem. Det er ansvaret til DCs og databaser plassert på dem til å filtrere hver og passord som er forsøkt skrevet til databasen, for å sikre passord møter innstillingene for passordpolicy.
MERK: Ved hjelp av gruppepolicy, det kan bare være ett passord policy for brukerne av domenet., Koble skuffer til og konfigurere en GPO til en OU vil IKKE konfigurere passord policy annerledes for brukere i at OU. Passord policy-innstillingene påvirker datamaskiner (se Figur 1) ikke brukerkontoer!
Hva du kan gjøre, er å opprette et nytt GRUPPEPOLICYOBJEKT, koble den til domenet nivå, og gi det høyere prioritet enn Standard domenepolicy. Innstillingene i denne nye GPO (du kan for eksempel angi minimum passord lengde) vil overstyre innstillingene i Standard domenepolicy på grunn av høyere rang. Du satt foran i Group Policy Management verktøy, som du kan se i Figur 2.
Figur 2., Hver GPO knyttet til domenet har en forrang i forhold til de andre Gpoer.
Hvis du vil ha flere passord politikk i det samme domenet, enten du trenger å kjøpe et tredje – parts produkt eller du kan bruke finkornet passord politikk. Finkornet passord politikk er en Microsoft-teknologi til å kontrollere passord politikk, men ikke bruker gruppepolicy som deployering mekanisme.,
for Å granske effektiv domene passord policy, kan du selvsagt kan ikke bare se på Standard domenepolicy fordi en annen GPO knyttet til domenet kan ha forskjellige passord policy-innstillinger som finnes i den, som vil overstyre Standard domenepolicy. Så hvordan gjør du riktig bekrefte effektiv passord policy for domenet brukere som er lagret på domenekontrollere?
svaret er enkelt og et innebygd verktøy! Verktøyet er secpol.msc og du kan kjøre dette på en domenekontroller fra ledeteksten eller Start | Søk i programmer og filer., Figur 3 illustrerer hva resultatet vil se ut.
Figur 3. Secpol.msc viser gjeldende innstillinger for maskinen.
Ved hjelp av secpol.msc-verktøyet, kan du bekrefte med 100% sikkerhet hva den nåværende passord policy-innstillingene for domenet brukere.
Administrere og få rapporter om Active Directory group policy-objekter.
Gratis Nedlasting
Håndheve kornet, gruppe/OU-basert passord retningslinjer for AD brukere.
Gratis Nedlasting
Spore endringer som gjøres AD group policy-objekter i sanntid.,
Gratis Nedlasting