В одной из статей (Настройка политики паролей в Active Directory используя GPO) мы уже рассматривали вариант управления политикой паролей на основе использования Default Domain Policy, но как уже отмечалось ранее у данного способа есть некоторые минусы, которые могут привести к полной блокировке работы каталога Active Directory. Для того чтобы с минимизировать вероятность остановки работы AD, можно использовать тонкую настройку политики управления паролями. Рассмотрим ее в этой статье.
Что такое тонкая настройка политики управления паролями в среде Windows
Тонкой политикой управления паролями в среде Windows называется возможность назначить на каждый объект в Active Directory свою политику, в отличии от Default Domain Policy. Иными словами мы можем управлять политикой паролей исходя их группы или конкретного пользователя. Для настройки политики нам придется использовать утилиту «Редактирование ADSI». Для этого нажмем: Пуск\Администрирование\Редактирование ADSI
Далее необходимо открыть: Контекст именования по умолчанию\DC=Ваш,Dc=домен\CN=System\CN=Password Settings Container и в право окне создать объект нашей будущей политики. Для этого на пустом месте (в пределах правого окна) нажать правой кнопкой мыши и из выпадающего меню выбрать Создать\Объект
В следующем окне выбрать msDS-PasswordSettings
Далее следуем указаниям мастера и заполняем обязательные поля.
В таблице ниже приведены атрибуты, описания полей, значение и рекомендуемые параметры.
- msDS-PasswordSettingsPrecedence
Приоритет параметров пароля. Диапазон допустимого значения должен быть больше 0, например 10.
- msDS-PasswordReversibleEncryptionEnabled
Статус обратимого шифрования пароля для учетных записей пользователей. Допустимое значение FALSE / TRUE (рекомендуемое значение – FALSE).
- msDS-PasswordHistoryLength
Длина журнала пароля для учетных записей пользователей. Диапазон допустимых значений от 0 до 1024. Рекомендуемое значение 24.
- msDS-PasswordComplexityEnabled
Состояние сложности паролей учетных записей пользователей. FALSE / TRUE (рекомендуемое значение – TRUE).
- msDS-MinimumPasswordLength
Минимальная длина паролей учетных записей пользователей. По умолчанию от 0 до 255. Дефолтовое значение 8.
- msDS-MinimumPasswordAge
Минимальный срок действия паролей учетных записей пользователей. Может быть Не установлен либо от 00:00:00:00 до значения атрибута msDS-MaximumPasswordAge. Пример: 1:00:00:00 (1 день)
- msDS-MaximumPasswordAge
Максимальный срок действия паролей учетных записей пользователей. Может быть Никогда, От значения атрибута msDS-MinimumPasswordAge до (Никогда), Значение msDS-MaximumPasswordAge не может быть равным 0. Пример: 42:00:00:00 (42 дня).
- msDS-LockoutThreshold
Порог блокировки учетных записей пользователей. Может быть от 0 до 65535. По умолчанию 10.
- msDS-LockoutObservationWindow
Период сброса счетчика блокировок учетных записей пользователей. Может быть Не установлен либо От 00:00:00:01 до значения атрибута msDS-LockoutDuration. Пример: 0:00:30:00 (30 минут).
- msDS-LockoutDuration
Продолжительность блокировки заблокированных учетных записей пользователей. Может быть Не установлен, Никогда, От значения атрибута msDS-LockoutObservationWindowдо (Никогда). Пример: 0:00:30:00 (30 минут).
- msDS-PSOAppliesTo
Ссылки на объекты, на которые распространяется действие объекта параметров пароля. Включает себя 0 либо большее различающееся количество имен пользователей или глобальных групп безопасности. Пример: CN=user,CN=Users,DC=DC1,DC=contoso,DC=com
И так у нас есть вновь созданный объект: CN=User Password Policy. Откроем политику, установим фильтр «Отображать только атрибуты, доступные для записи»
Найдем параметр msDS-PSOAppliesTo:
Нажмем Добавить учетную запись Windows.
Назначим политику на всех пользователей домена.
Надеюсь статья будет вам полезна. Комментарии, вопросы приветствуются.
Статья хорошая думаю пригодиться в администрировании.
У меня возник вопрос а если домен на 2003 находиться.
Дело в том что атрибут msDS-PasswordSettings в ADSI я не нашёл.
Как я понял в 2003 это не возможно
Вот ссылка : https://social.technet.microsoft.com/Forums/ru-RU/522df703-c62b-400e-871b-1da8e4aa5c52/-?forum=windowsserverru
Евгений, приветствую, спасибо за интерес к блогу ;-). Да все верно, эта фишечка стала доступной начиная с Windows Server 2008.