Тонкая настройка политики управления паролями в среде Windows

В одной из статей (Настройка политики паролей в Active Directory используя GPO) мы уже рассматривали вариант управления политикой паролей на основе использования Default Domain Policy, но как уже отмечалось ранее у данного способа есть некоторые минусы, которые могут привести к полной блокировке работы каталога Active Directory. Для того чтобы с минимизировать вероятность остановки работы AD, можно использовать тонкую настройку политики управления паролями. Рассмотрим ее в этой статье.

Что такое тонкая настройка политики управления паролями в среде Windows

Тонкой политикой управления паролями в среде Windows называется возможность назначить на каждый объект в Active Directory свою политику, в отличии от Default Domain Policy. Иными словами мы можем управлять политикой паролей исходя их группы или конкретного пользователя. Для настройки политики нам придется использовать утилиту «Редактирование ADSI». Для этого нажмем: Пуск\Администрирование\Редактирование ADSI

Редактирование ADSI Active Directory

Далее необходимо открыть: Контекст именования по умолчанию\DC=Ваш,Dc=домен\CN=System\CN=Password Settings Container и в право окне создать объект нашей будущей политики. Для этого на пустом месте (в пределах правого окна) нажать правой кнопкой мыши и из выпадающего меню выбрать Создать\Объект

Редактирование ADSI Active Directory создать объект

В следующем окне выбрать msDS-PasswordSettings

Редактирование ADSI Active Directory msDS-PasswordSettings

Далее следуем указаниям мастера и заполняем обязательные поля.

В таблице ниже приведены атрибуты, описания полей, значение и рекомендуемые параметры.

  • msDS-PasswordSettingsPrecedence

Приоритет параметров пароля. Диапазон допустимого значения должен быть больше 0, например 10.

  • msDS-PasswordReversibleEncryptionEnabled

Статус обратимого шифрования пароля для учетных записей пользователей. Допустимое значение FALSE / TRUE (рекомендуемое значение – FALSE).

  • msDS-PasswordHistoryLength

Длина журнала пароля для учетных записей пользователей. Диапазон допустимых значений от 0 до 1024. Рекомендуемое значение 24.

  • msDS-PasswordComplexityEnabled

Состояние сложности паролей учетных записей пользователей. FALSE / TRUE (рекомендуемое значение – TRUE).

  • msDS-MinimumPasswordLength

Минимальная длина паролей учетных записей пользователей. По умолчанию от 0 до 255. Дефолтовое значение 8.

  • msDS-MinimumPasswordAge

Минимальный срок действия паролей учетных записей пользователей. Может быть Не установлен либо от 00:00:00:00 до значения атрибута msDS-MaximumPasswordAge. Пример: 1:00:00:00 (1 день)

  • msDS-MaximumPasswordAge

Максимальный срок действия паролей учетных записей пользователей. Может быть Никогда, От значения атрибута msDS-MinimumPasswordAge до (Никогда), Значение msDS-MaximumPasswordAge не может быть равным 0. Пример: 42:00:00:00 (42 дня).

  • msDS-LockoutThreshold

Порог блокировки учетных записей пользователей. Может быть от 0 до 65535. По умолчанию 10.

  • msDS-LockoutObservationWindow

Период сброса счетчика блокировок учетных записей пользователей. Может быть Не установлен либо От 00:00:00:01 до значения атрибута msDS-LockoutDuration. Пример: 0:00:30:00 (30 минут).

  • msDS-LockoutDuration

Продолжительность блокировки заблокированных учетных записей пользователей. Может быть Не установлен, Никогда, От значения атрибута msDS-LockoutObservationWindowдо (Никогда). Пример: 0:00:30:00 (30 минут).

  • msDS-PSOAppliesTo

Ссылки на объекты, на которые распространяется действие объекта параметров пароля. Включает себя 0 либо большее различающееся количество имен пользователей или глобальных групп безопасности. Пример: CN=user,CN=Users,DC=DC1,DC=contoso,DC=com

И так у нас есть вновь созданный объект: CN=User Password Policy. Откроем политику, установим фильтр «Отображать только атрибуты, доступные для записи»

Отображать только атрибуты, доступные для записи

 

Найдем параметр msDS-PSOAppliesTo:

msDS-PSOAppliesTo

Нажмем Добавить учетную запись Windows.

Добавить учетную запись

Назначим политику на всех пользователей домена.

Выберем группу

 

Нажмем ок

 

Надеюсь статья будет вам полезна. Комментарии, вопросы приветствуются.

Тонкая настройка политики управления паролями в среде Windows: 3 комментария

  1. Евгений

    Статья хорошая думаю пригодиться в администрировании.
    У меня возник вопрос а если домен на 2003 находиться.
    Дело в том что атрибут msDS-PasswordSettings в ADSI я не нашёл.

    1. Алексей Орлов Автор записи

      Евгений, приветствую, спасибо за интерес к блогу ;-). Да все верно, эта фишечка стала доступной начиная с Windows Server 2008.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *