Политика паролей в AD Windows 2008 R2
29-03-2011 15:30
к комментариям - к полной версии
- понравилось!
Столкнулась с пробелемой назначения доменной политики паролей в Active Directory на базе Windows 2008 R2 (только для тех, у кого лес работает в режиме совместимости с Win 2008. ) Для проверки в оснастке Active Directory - пользователи и ПК - Свойства домена - Общее - режим работы леса/домена
Супь проблемы заключалась в том, что какие бы параметры политики паролей я не прописывала в Default domain Policy - DDP (в т ч все пункты в "не назначено"), реально к клиентским ПК применялась политика паролей из Локальных политик безопасности контроллера домена.
В итоге оказалось следующее: В службах AD DS Windows Server 2008 появился новый механизм AD DS Fine-Grained Password and Account Lockout Policy, позволяющий в рамках домена создавать несколько разных политик паролей, применяемых к конкретным доменным пользователям или доменным глобальным группам безопасности. Беда в том, что я никак не ожидала, что после внедрения технологии PSO, политики прописанные в DDP будут попросту игнорироваться клиентской машиной. Все средства проверки результирующих политик показывают, что должно работать так, как прописано в DDP а на самом деле работают локальные политики контроллера домена.
После долгих мучений был сделан вывод: Бесполезно прописывать что-либо в DDP. Для того, чтоб политики паролей применялись правильно, создавать их надо как объекты PSO в оснастке ADSI Edit (или любом другом ее аналоге)
Далее Приведу небольшую инструкцию как это сделать. Материалы взяты с сайта
amaksimov.wordpress.com, слегка сокращены и дополнены моими комментариями.
Создание объекта PSO с помощью MMC-оснастки Active Directory Services Interface editor (ADSI Edit)
Откроем оснастку ADSIEDIT.MSC и подключимся к контексту именования по умолчанию нашего домена указав в поле Name FQDN имя нашего домена.
[382x380]
Перейдём в контейнер DC=<Имя домена>, DC=<Имя домена> -> CN=System -> CN=Password Settings Container.
[498x258]
И в контекстном меню на контейнере Password Settings Container выберем создание нового объекта PSO (msDC-PasswordSettings)
[444x184]
Жмем "далее".
Далее следуем указаниям мастера, который запросит указать по очереди все параметры политики паролей и блокировки учетных данных. Скрины вешать не буду, запутаться там сложно.
1. Укажем имя нашего нового объекта PSO.
2. Укажем значение атрибута msDS-PasswordSettingsPrecedence. Значение этого атрибута определяет приоритет в случае конфликта нескольких PSO, применяемых к одной и той же группе безопасности или пользователю. (тут ставим целое число, например 1)
3. Значение атрибута msDS-PasswordReversibleEncryptionEnabled определяет возможность обратимого шифрования пароля для учетных записей пользователей. Устанавливаем его в false как рекомендуемое либо true.
4. Зададим значение атрибута msDS-PasswordHistoryLength определяющего количество неповторяемых паролей для учетных записей пользователей.
5. Значение атрибута msDS-PasswordComplexityEnabled, установленное нами в true, определяет включение требования соблюдения сложности паролей и является рекомендуемым. (false - отключает требования к паролю по сложности: 3 из 4 видов символов. Большие и строчные буквы, цифры, спецзнаки)
6. Значение атрибута msDS-MinimumPasswordLength, определяет минимальную длину паролей учетных записей пользователей.
7. Значение атрибута msDS-MinimumPasswordAge, определяет минимальный срок действия паролей учетных записей пользователей. (в строке запись вида 1:00:00:00 = 1 день, 0:00:05:00 = 5 минут)
8. Значение атрибута msDS-MaximumPasswordAge, определяет максимальный срок действия паролей учетных записей пользователей. (к примеру 90 жней - пишем 90:00:00:00)
9. Значение атрибута msDS-LockoutThreshold, определяет порог блокировки учетных записей пользователей (целое число. после указанного числа неудачных попыток авторизации срабатывает механизм блокировки учетной записи).
10. Значение атрибута msDS-LockoutObservationWindow, определяет период сброса счетчика блокировок учетных записей пользователей. (0:00:30:00 = 30 минут).
11. Значение атрибута msDS-LockoutDuration, определяет продолжительность блокировки заблокированных учетных записей пользователей. (0:00:30:00 = 30 минут).
! Когда в пунктах 10 и 11 время не совпадало, при сохранении объекта PSO вылезла ошибка.
12. На этом работа мастера создания PSO завершается. Жмем Finish.
После того как только что созданный объект PSO появляется в консоли, открываем его свойства.
[489x163]
Среди списка атрибутов находим атрибут msDS-PSOAppliesTo и убедившись в том что его значение не определено, открываем его редактирование.
[406x453]
В окне редактирования Multi-valued Distinguished Name With Security Principal Editor нажимаем Add Windows Account и выбираем соответствующую доменную глобальную группу безопасности, к которой следует применить созданную политику или пользователя.
Сохраняем свойства объекта PSO и убеждаемся в том, что привязка к соответствующей группе безопасности произведена (для этого можно проверить значение атрибута msDS-PSOApplied в свойствах самой группы безопасности/пользователя).
[402x463]
Теперь на всех пользователей, включенных в эту группу безопасности, будут действовать параметры, заданные в нашем объекте PSO независимо от текущих настроек в Default Domain Policy.
Объект PSO можно связать с несколькими группами или пользователями,
а с отдельной группой или пользователем может быть связано несколько
объектов PSO. Привязать PSO можно и к контейнеру подразделения или к домену, но в таком случае она работать НЕ будет.
вверх^
к полной версии
понравилось!
в evernote
Столкнулась с пробелемой назначения доменной политики паролей в Active Directory на базе Windows 2008 R2 (только для тех, у кого лес работает в режиме совместимости с Win 2008. ) Для проверки в оснастке Active Directory - пользователи и ПК - Свойства домена - Общее - режим работы леса/домена
Супь проблемы заключалась в том, что какие бы параметры политики паролей я не прописывала в Default domain Policy - DDP (в т ч все пункты в "не назначено"), реально к клиентским ПК применялась политика паролей из Локальных политик безопасности контроллера домена.
В итоге оказалось следующее: В службах AD DS Windows Server 2008 появился новый механизм AD DS Fine-Grained Password and Account Lockout Policy, позволяющий в рамках домена создавать несколько разных политик паролей, применяемых к конкретным доменным пользователям или доменным глобальным группам безопасности. Беда в том, что я никак не ожидала, что после внедрения технологии PSO, политики прописанные в DDP будут попросту игнорироваться клиентской машиной. Все средства проверки результирующих политик показывают, что должно работать так, как прописано в DDP а на самом деле работают локальные политики контроллера домена.
После долгих мучений был сделан вывод: Бесполезно прописывать что-либо в DDP. Для того, чтоб политики паролей применялись правильно, создавать их надо как объекты PSO в оснастке ADSI Edit (или любом другом ее аналоге)
Далее Приведу небольшую инструкцию как это сделать. Материалы взяты с сайта
amaksimov.wordpress.com, слегка сокращены и дополнены моими комментариями.
Создание объекта PSO с помощью MMC-оснастки Active Directory Services Interface editor (ADSI Edit)
Откроем оснастку ADSIEDIT.MSC и подключимся к контексту именования по умолчанию нашего домена указав в поле Name FQDN имя нашего домена.
[382x380]Перейдём в контейнер DC=<Имя домена>, DC=<Имя домена> -> CN=System -> CN=Password Settings Container.
[498x258]И в контекстном меню на контейнере Password Settings Container выберем создание нового объекта PSO (msDC-PasswordSettings)
[444x184]Жмем "далее".
Далее следуем указаниям мастера, который запросит указать по очереди все параметры политики паролей и блокировки учетных данных. Скрины вешать не буду, запутаться там сложно.
1. Укажем имя нашего нового объекта PSO.
2. Укажем значение атрибута msDS-PasswordSettingsPrecedence. Значение этого атрибута определяет приоритет в случае конфликта нескольких PSO, применяемых к одной и той же группе безопасности или пользователю. (тут ставим целое число, например 1)
3. Значение атрибута msDS-PasswordReversibleEncryptionEnabled определяет возможность обратимого шифрования пароля для учетных записей пользователей. Устанавливаем его в false как рекомендуемое либо true.
4. Зададим значение атрибута msDS-PasswordHistoryLength определяющего количество неповторяемых паролей для учетных записей пользователей.
5. Значение атрибута msDS-PasswordComplexityEnabled, установленное нами в true, определяет включение требования соблюдения сложности паролей и является рекомендуемым. (false - отключает требования к паролю по сложности: 3 из 4 видов символов. Большие и строчные буквы, цифры, спецзнаки)
6. Значение атрибута msDS-MinimumPasswordLength, определяет минимальную длину паролей учетных записей пользователей.
7. Значение атрибута msDS-MinimumPasswordAge, определяет минимальный срок действия паролей учетных записей пользователей. (в строке запись вида 1:00:00:00 = 1 день, 0:00:05:00 = 5 минут)
8. Значение атрибута msDS-MaximumPasswordAge, определяет максимальный срок действия паролей учетных записей пользователей. (к примеру 90 жней - пишем 90:00:00:00)
9. Значение атрибута msDS-LockoutThreshold, определяет порог блокировки учетных записей пользователей (целое число. после указанного числа неудачных попыток авторизации срабатывает механизм блокировки учетной записи).
10. Значение атрибута msDS-LockoutObservationWindow, определяет период сброса счетчика блокировок учетных записей пользователей. (0:00:30:00 = 30 минут).
11. Значение атрибута msDS-LockoutDuration, определяет продолжительность блокировки заблокированных учетных записей пользователей. (0:00:30:00 = 30 минут).
! Когда в пунктах 10 и 11 время не совпадало, при сохранении объекта PSO вылезла ошибка.
12. На этом работа мастера создания PSO завершается. Жмем Finish.
После того как только что созданный объект PSO появляется в консоли, открываем его свойства.
[489x163]Среди списка атрибутов находим атрибут msDS-PSOAppliesTo и убедившись в том что его значение не определено, открываем его редактирование.
[406x453]В окне редактирования Multi-valued Distinguished Name With Security Principal Editor нажимаем Add Windows Account и выбираем соответствующую доменную глобальную группу безопасности, к которой следует применить созданную политику или пользователя.
Сохраняем свойства объекта PSO и убеждаемся в том, что привязка к соответствующей группе безопасности произведена (для этого можно проверить значение атрибута msDS-PSOApplied в свойствах самой группы безопасности/пользователя).
[402x463]Теперь на всех пользователей, включенных в эту группу безопасности, будут действовать параметры, заданные в нашем объекте PSO независимо от текущих настроек в Default Domain Policy.
Объект PSO можно связать с несколькими группами или пользователями,
а с отдельной группой или пользователем может быть связано несколько
объектов PSO. Привязать PSO можно и к контейнеру подразделения или к домену, но в таком случае она работать НЕ будет.
Комментарии (6):
йопсель))) китайская грамота)) пиши езчо)))
это так... просто у меня ушла неделя чтоб разобраться и никто толком не написал, чтоб чайнику было понятно.
Ответ на комментарий Maritanna #
да уж, заново изобретать велосипед- не прикольно
Да эти домены новые выще какие то ЛЕВЫЕ!
Ответ на комментарий DeepDiver #
Есть много нового и хорошего... только с документацией беда. Ничего толком нету, только "переливание с пустого в порожнее". Все приходится изучать на своих граблях.
Комментарии (6):
вверх^
Вы сейчас не можете прокомментировать это сообщение.
Дневник Политика паролей в AD Windows 2008 R2 | Maritanna - Что не убивает меня, делает меня сильнее... |
Лента друзей Maritanna
/ Полная версия
Добавить в друзья
Страницы:
раньше»