Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

ПОЛИТИКА ПАРОЛЕЙ В Active Directory WINDOWS 2008 R2.


Порой регламент по информационной безопасности предусматривает разные требования к политикам паролей различных подразделений Компании. Например, бухгалтерия или другие финансовые подразделения имеющие доступ к бухгалтерским или аналогичным программам должны иметь сложный безопасный пароль, который должен меняться раз в 30, 60, 90 дней (тут у кого как). Это легко и просто сделать с помощью GPO, но была одна проблема: в Windows 2008, если задаешь политики паролей в Default Policy, то именно политика паролей применима ко всему домену, и все остальные Policy «навешиваемые» отдельно на отдельные OU в отношении политики паролей никак не работают. А всей Компании может быть такие сложные пароли, меняющиеся с частотой в 30 дней, и не нужны. Долго не могли понять, как решить такую проблему гибко и правильно. Но спасибо, коллегам, которые ранее уже столкнулись с аналогичной задачей и уже решили ее.

Вот здесь приведена полная версия решения такой задачи:

http://www.liveinternet.ru/users/maritanna/post158815704/

cmd-adsiedit.msc

snap1

snap2

snap3

Жмем «далее».
Далее следуем указаниям мастера, который запросит указать по очереди все параметры политики паролей и блокировки учетных данных. Скрины вешать не буду, запутаться там сложно.
1. Укажем имя нашего нового объекта PSO.
2. Укажем значение атрибута msDS-PasswordSettingsPrecedence. Значение этого атрибута определяет приоритет в случае конфликта нескольких PSO, применяемых к одной и той же группе безопасности или пользователю. (тут ставим целое число, например 1)
3. Значение атрибута msDS-PasswordReversibleEncryptionEnabled определяет возможность обратимого шифрования пароля для учетных записей пользователей. Устанавливаем его в false как рекомендуемое либо true.
4. Зададим значение атрибута msDS-PasswordHistoryLength определяющего количество неповторяемых паролей для учетных записей пользователей.
5. Значение атрибута msDS-PasswordComplexityEnabled, установленное нами в true, определяет включение требования соблюдения сложности паролей и является рекомендуемым. (false — отключает требования к паролю по сложности: 3 из 4 видов символов. Большие и строчные буквы, цифры, спецзнаки)
6. Значение атрибута msDS-MinimumPasswordLength, определяет минимальную длину паролей учетных записей пользователей.
7. Значение атрибута msDS-MinimumPasswordAge, определяет минимальный срок действия паролей учетных записей пользователей. (в строке запись вида 1:00:00:00 = 1 день, 0:00:05:00 = 5 минут)
8. Значение атрибута msDS-MaximumPasswordAge, определяет максимальный срок действия паролей учетных записей пользователей. (к примеру 90 жней — пишем 90:00:00:00)
9. Значение атрибута msDS-LockoutThreshold, определяет порог блокировки учетных записей пользователей (целое число. после указанного числа неудачных попыток авторизации срабатывает механизм блокировки учетной записи).
10. Значение атрибута msDS-LockoutObservationWindow, определяет период сброса счетчика блокировок учетных записей пользователей. (0:00:30:00 = 30 минут).
11. Значение атрибута msDS-LockoutDuration, определяет продолжительность блокировки заблокированных учетных записей пользователей. (0:00:30:00 = 30 минут).
! Когда в пунктах 10 и 11 время не совпадало, при сохранении объекта PSO вылезла ошибка.
12. На этом работа мастера создания PSO завершается. Жмем Finish.
snap4
После того, как только что созданный объект PSO появляется в консоли, открываем его свойства.

Среди списка атрибутов находим атрибут msDS-PSOAppliesTo и убедившись в том что его значение не определено, открываем его редактирование.

Выбираем нужную нам группу, в моем случае это Бухгалтерия

snap5

snap6

Далее OK и политика паролей применена выбранной мною группе безопасности.

Вроде все ГУД и вопрос решен, но остался один непонятный момент: у некоторых табличка о смене пароля всплыла в течении часа, у некоторых позже, у некоторых через несколько дней. Вопрос: почему у всех в разное и время и где задать эти параметры? (например, чтоб окно о смене пароля всплыло у всех сразу и единовременно, а не в разное время).

Буду признателен за Ваши ответы к комментариях.

P.S.  Перед тем, как начнете создавать такие политики для различных подразделений стоит многократно подумать и взвесить все параметры: сложность, количество символов, время блокировки и прочее… Так как через некоторое время от пользователей начали поступать сигналы негодования типа:

  • Я не знаю как сменить пароль? -Он мне пишет что он не соответствует политике сложности, я его меняю, но все равно ничего не получается…
  • Многие пароль сменить смогли (не с первого раза, но уже не плохо), но не смогли потом под ним войти, так как забыли на что они его сменили….
  • Многие набрали его неправильно 5 раз и были автоматически заблокированы…

В общем наберитесь самурайского терпения и будьте готовы выслушать жалобы, что невозможно работать и все такое…. Но регламент должен быть соблюден.

Всем хорошей работы!!!

Реклама

22.11.2016 - Posted by | ms windows 2008

Sorry, the comment form is closed at this time.

%d такие блоггеры, как: