w ciągu ostatnich 14 lat byłem na całym świecie, pomagając administratorom, audytorom i specjalistom od bezpieczeństwa zrozumieć, jak działa polityka haseł domen w usłudze Active Directory. Domyślne zachowanie nie zmieniło się w ciągu tych 14 lat, więc możesz sobie wyobrazić, ilu osobom pomogłem, nie wspominając już, ile razy o tym mówiłem.
więc po co wspominać o tym tutaj?, Cóż, nadal uważam, że administratorzy i audytorzy nie rozumieją, jak działa polityka haseł do domeny, więc wyjaśnię to poniżej.
domyślnie przy każdej instalacji usługi Active Directory domyślna Polityka domen ustanawia politykę haseł domen (dla wszystkich użytkowników skonfigurowanych i przechowywanych w usłudze Active Directory). Rysunek 1 ilustruje, jak wyglądają te konfiguracje i gdzie można je znaleźć w domyślnej Polityce domen.
Rysunek 1. Domyślna Polityka domenowa Polityka haseł.,
sposób działania polityki haseł polega na tym, że ten GPO i ustawienia zawarte w tym GPO konfigurują kontrolery domeny (DCs) i znajdujące się na nich bazy danych Active Directory. Zadaniem DCs i znajdujących się na nich baz danych jest filtrowanie każdego hasła, które próbowano zapisać w bazie danych, aby upewnić się, że hasło spełnia ustawienia polityki haseł.
uwaga: Korzystając z zasad grupy, może istnieć tylko jedna Polityka haseł dla użytkowników domeny., Łączenie i konfigurowanie GPO do OU Nie skonfiguruje polityki haseł inaczej dla użytkowników w tym OU. Ustawienia zasad haseł dotyczą komputerów (patrz rysunek 1), a nie kont użytkowników!
możesz utworzyć nowy GPO, połączyć go z poziomem domeny i nadać mu wyższy priorytet niż domyślna Polityka domeny. Ustawienia w tym nowym GPO (na przykład ustawienie minimalnej długości hasła) zastąpią ustawienia domyślnej Polityki domen ze względu na wyższy priorytet. Pierwszeństwo można ustawić w narzędziu do zarządzania zasadami grupy, które można zobaczyć na rysunku 2.
Rysunek 2., Każdy GPO powiązany z domeną ma pierwszeństwo w porównaniu z innymi GPO.
Jeśli chcesz mieć wiele zasad haseł w tej samej domenie, musisz kupić produkt innej firmy lub możesz użyć zasad haseł drobnoziarnistych. Zasady haseł drobnoziarnistych to technologia firmy Microsoft do kontrolowania zasad haseł, ale nie używa zasad grupowych jako mechanizmu wdrażania.,
aby sprawdzić skuteczną politykę haseł domen, oczywiście nie możesz po prostu spojrzeć na domyślną Politykę domen, ponieważ inny GPO powiązany z domeną może mieć inne ustawienia zasad haseł, które zastąpią domyślną Politykę domen. Jak więc poprawnie zweryfikować skuteczną politykę haseł dla użytkowników domeny przechowywanych na kontrolerach domen?
odpowiedź jest prosta i wbudowane narzędzie! Narzędziem jest secpol.msc i możesz uruchomić to na dowolnym kontrolerze domeny z wiersza polecenia lub przycisku Start / Szukaj programów i plików pole., Rysunek 3 ilustruje, jak wyglądałby wynik.
Rysunek 3. Secpol.msc wyświetla rzeczywiste ustawienia dla komputera.
korzystając z secpol.msc tool, możesz zweryfikować ze 100% pewnością, jakie są aktualne ustawienia polityki haseł dla użytkowników domeny.
Zarządzaj i pobieraj raporty dotyczące obiektów zasad grupy Active Directory.
pobierz za darmo
egzekwuj szczegółowe zasady haseł oparte na grupach / OU dla użytkowników reklam.
Bezpłatne pobieranie
Śledź zmiany wprowadzone w obiektach zasad grupy reklam w czasie rzeczywistym.,
Free Download