nos últimos 14 anos, Eu estive ao redor do mundo ajudando administradores, auditores e profissionais de segurança a entender como a Política de senha de domínio funciona em Diretório Ativo. O comportamento padrão não mudou nesses 14 anos, então você pode imaginar quantas pessoas eu ajudei, sem mencionar quantas vezes eu falei sobre isso.então por que mencioná-lo aqui?, Bem, eu ainda acho que administradores e auditores não entendem como a Política de senha de domínio funciona, então deixe-me explicar abaixo.
Por omissão em cada instalação do Active Directory, a Política de domínio por omissão estabelece a Política de senha do domínio (para todos os utilizadores configurados e armazenados no Active Directory, isto é). A figura 1 ilustra como essas configurações se parecem e onde você pode encontrá-las na Política de domínio padrão.
Figura 1. Política de senha da Política de domínio por omissão.,
a forma como a Política de senha funciona é que este GPO e as configurações contidas neste GPO configuram os controladores de domínio (DCs) e as bases de dados de diretórios ativos localizados neles. É da responsabilidade dos DCs e bancos de dados localizados neles para filtrar cada senha que é tentada para ser escrita na base de dados, para garantir que a senha atende às configurações de política de senha.
nota: ao usar a Política de grupo, só pode haver uma política de senha para os usuários do domínio., A ligação e configuração de um GPO a um OU não configurará a Política de senha de forma diferente para os utilizadores desse OU. A configuração da Política de senhas afecta os computadores (ver Figura 1) e não as contas de utilizador!
O que você pode fazer é criar um novo GPO, ligá-lo ao nível do domínio, e dar-lhe maior precedência do que a Política de domínio padrão. A configuração deste novo GPO (por exemplo, você define o tamanho mínimo da senha) irá sobrepor as configurações na Política de domínio padrão devido à precedência maior. Você define precedência na ferramenta de gerenciamento de Políticas de grupo, que você pode ver na Figura 2.
Figura 2., Cada GPO ligado ao Domínio tem uma precedência, em comparação com os outros GPOs.
Se você quiser ter várias políticas de senha no mesmo domínio, ou você precisa comprar um produto de terceiros ou você pode usar as Políticas de senha de grão fino. Políticas de senha de grão fino são uma tecnologia da Microsoft para controlar políticas de senha, mas não usar a Política de grupo como o mecanismo de implantação.,
para auditar a Política de senha efetiva do domínio, você obviamente não pode apenas olhar para a Política de domínio padrão porque outro GPO ligado ao Domínio pode ter diferentes configurações de política de senha contidas nele que irá sobrepor a Política de domínio padrão. Então, como você verifica corretamente a Política de senha eficaz para seus usuários de domínio armazenados em controladores de domínio?
a resposta é simples e uma ferramenta incorporada! A ferramenta é secpol.o msc e você podem executá-lo em qualquer controlador de domínio a partir da linha de comandos ou do botão Iniciar | Programas de pesquisa e arquivos., A figura 3 ilustra como seria o resultado.
Figura 3. Secpol.o msc mostra a configuração actual do computador.
Usando a secpol.ferramenta msc, você pode verificar com 100% de confiança quais são as configurações atuais da Política de senha para seus usuários de domínio.
gerir e obter relatórios sobre os objectos de política do grupo de pastas activas.
Download gratuito
execute Políticas de senha granular, de grupo / ou baseada para utilizadores de anúncios.
Download gratuito
Track changes made to AD group policy objects in real-time.,
telecarregamento gratuito