В одной из статей (Настройка политики паролей в Active Directory используя GPO) мы уже рассматривали вариант управления политикой паролей на основе использования Default Domain Policy, но как уже отмечалось ранее у данного способа есть некоторые минусы, которые могут привести к полной блокировке работы каталога Active Directory. Для того чтобы с минимизировать вероятность остановки работы AD, можно использовать тонкую настройку политики управления паролями. Рассмотрим ее в этой статье.

Что такое тонкая настройка политики управления паролями в среде Windows

Тонкой политикой управления паролями в среде Windows называется возможность назначить на каждый объект в Active Directory свою политику, в отличии от Default Domain Policy. Иными словами мы можем управлять политикой паролей исходя их группы или конкретного пользователя. Для настройки политики нам придется использовать утилиту «Редактирование ADSI». Для этого нажмем: Пуск\Администрирование\Редактирование ADSI

Далее необходимо открыть: Контекст именования по умолчанию\DC=Ваш,Dc=домен\CN=System\CN=Password Settings Container и в право окне создать объект нашей будущей политики. Для этого на пустом месте (в пределах правого окна) нажать правой кнопкой мыши и из выпадающего меню выбрать Создать\Объект

В следующем окне выбрать msDS-PasswordSettings

Далее следуем указаниям мастера и заполняем обязательные поля.

В таблице ниже приведены атрибуты, описания полей, значение и рекомендуемые параметры.

• msDS-PasswordSettingsPrecedence

Приоритет параметров пароля. Диапазон допустимого значения должен быть больше 0, например 10.

• msDS-PasswordReversibleEncryptionEnabled

Статус обратимого шифрования пароля для учетных записей пользователей. Допустимое значение FALSE / TRUE (рекомендуемое значение – FALSE).

• msDS-PasswordHistoryLength

Длина журнала пароля для учетных записей пользователей. Диапазон допустимых значений от 0 до 1024. Рекомендуемое значение 24.

• msDS-PasswordComplexityEnabled

Состояние сложности паролей учетных записей пользователей. FALSE / TRUE (рекомендуемое значение – TRUE).

• msDS-MinimumPasswordLength

Минимальная длина паролей учетных записей пользователей. По умолчанию от 0 до 255. Дефолтовое значение 8.

• msDS-MinimumPasswordAge

Минимальный срок действия паролей учетных записей пользователей. Может быть Не установлен либо от 00:00:00:00 до значения атрибута msDS-MaximumPasswordAge. Пример: 1:00:00:00 (1 день)

• msDS-MaximumPasswordAge

Максимальный срок действия паролей учетных записей пользователей. Может быть Никогда, От значения атрибута msDS-MinimumPasswordAge до (Никогда), Значение msDS-MaximumPasswordAge не может быть равным 0. Пример: 42:00:00:00 (42 дня).

• msDS-LockoutThreshold

Порог блокировки учетных записей пользователей. Может быть от 0 до 65535. По умолчанию 10.

• msDS-LockoutObservationWindow

Период сброса счетчика блокировок учетных записей пользователей. Может быть Не установлен либо От 00:00:00:01 до значения атрибута msDS-LockoutDuration. Пример: 0:00:30:00 (30 минут).

• msDS-LockoutDuration

Продолжительность блокировки заблокированных учетных записей пользователей. Может быть Не установлен, Никогда, От значения атрибута msDS-LockoutObservationWindowдо (Никогда). Пример: 0:00:30:00 (30 минут).

• msDS-PSOAppliesTo

Ссылки на объекты, на которые распространяется действие объекта параметров пароля. Включает себя 0 либо большее различающееся количество имен пользователей или глобальных групп безопасности. Пример: CN=user,CN=Users,DC=DC1,DC=contoso,DC=com

И так у нас есть вновь созданный объект: CN=User Password Policy. Откроем политику, установим фильтр «Отображать только атрибуты, доступные для записи»

 

Найдем параметр msDS-PSOAppliesTo:

Нажмем Добавить учетную запись Windows.

Назначим политику на всех пользователей домена.

 

 

Надеюсь статья будет вам полезна. Комментарии, вопросы приветствуются.