Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

ПОЛИТИКА ПАРОЛЕЙ В Active Directory WINDOWS 2008 R2.

Порой регламент по информационной безопасности предусматривает разные требования к политикам паролей различных подразделений Компании. Например, бухгалтерия или другие финансовые подразделения имеющие доступ к бухгалтерским или аналогичным программам должны иметь сложный безопасный пароль, который должен меняться раз в 30, 60, 90 дней (тут у кого как). Это легко и просто сделать с помощью GPO, но была одна проблема: в Windows 2008, если задаешь политики паролей в Default Policy, то именно политика паролей применима ко всему домену, и все остальные Policy «навешиваемые» отдельно на отдельные OU в отношении политики паролей никак не работают. А всей Компании может быть такие сложные пароли, меняющиеся с частотой в 30 дней, и не нужны. Долго не могли понять, как решить такую проблему гибко и правильно. Но спасибо, коллегам, которые ранее уже столкнулись с аналогичной задачей и уже решили ее.

Вот здесь приведена полная версия решения такой задачи:

http://www.liveinternet.ru/users/maritanna/post158815704/

cmd-adsiedit.msc

snap1

snap2

snap3

Жмем «далее».
Далее следуем указаниям мастера, который запросит указать по очереди все параметры политики паролей и блокировки учетных данных. Скрины вешать не буду, запутаться там сложно.
1. Укажем имя нашего нового объекта PSO.
2. Укажем значение атрибута msDS-PasswordSettingsPrecedence. Значение этого атрибута определяет приоритет в случае конфликта нескольких PSO, применяемых к одной и той же группе безопасности или пользователю. (тут ставим целое число, например 1)
3. Значение атрибута msDS-PasswordReversibleEncryptionEnabled определяет возможность обратимого шифрования пароля для учетных записей пользователей. Устанавливаем его в false как рекомендуемое либо true.
4. Зададим значение атрибута msDS-PasswordHistoryLength определяющего количество неповторяемых паролей для учетных записей пользователей.
5. Значение атрибута msDS-PasswordComplexityEnabled, установленное нами в true, определяет включение требования соблюдения сложности паролей и является рекомендуемым. (false — отключает требования к паролю по сложности: 3 из 4 видов символов. Большие и строчные буквы, цифры, спецзнаки)
6. Значение атрибута msDS-MinimumPasswordLength, определяет минимальную длину паролей учетных записей пользователей.
7. Значение атрибута msDS-MinimumPasswordAge, определяет минимальный срок действия паролей учетных записей пользователей. (в строке запись вида 1:00:00:00 = 1 день, 0:00:05:00 = 5 минут)
8. Значение атрибута msDS-MaximumPasswordAge, определяет максимальный срок действия паролей учетных записей пользователей. (к примеру 90 жней — пишем 90:00:00:00)
9. Значение атрибута msDS-LockoutThreshold, определяет порог блокировки учетных записей пользователей (целое число. после указанного числа неудачных попыток авторизации срабатывает механизм блокировки учетной записи).
10. Значение атрибута msDS-LockoutObservationWindow, определяет период сброса счетчика блокировок учетных записей пользователей. (0:00:30:00 = 30 минут).
11. Значение атрибута msDS-LockoutDuration, определяет продолжительность блокировки заблокированных учетных записей пользователей. (0:00:30:00 = 30 минут).
! Когда в пунктах 10 и 11 время не совпадало, при сохранении объекта PSO вылезла ошибка.
12. На этом работа мастера создания PSO завершается. Жмем Finish.
snap4
После того, как только что созданный объект PSO появляется в консоли, открываем его свойства.

Среди списка атрибутов находим атрибут msDS-PSOAppliesTo и убедившись в том что его значение не определено, открываем его редактирование.

Выбираем нужную нам группу, в моем случае это Бухгалтерия

snap5

snap6

Далее OK и политика паролей применена выбранной мною группе безопасности.

Вроде все ГУД и вопрос решен, но остался один непонятный момент: у некоторых табличка о смене пароля всплыла в течении часа, у некоторых позже, у некоторых через несколько дней. Вопрос: почему у всех в разное и время и где задать эти параметры? (например, чтоб окно о смене пароля всплыло у всех сразу и единовременно, а не в разное время).

Буду признателен за Ваши ответы к комментариях.

P.S.  Перед тем, как начнете создавать такие политики для различных подразделений стоит многократно подумать и взвесить все параметры: сложность, количество символов, время блокировки и прочее… Так как через некоторое время от пользователей начали поступать сигналы негодования типа:

  • Я не знаю как сменить пароль? -Он мне пишет что он не соответствует политике сложности, я его меняю, но все равно ничего не получается…
  • Многие пароль сменить смогли (не с первого раза, но уже не плохо), но не смогли потом под ним войти, так как забыли на что они его сменили….
  • Многие набрали его неправильно 5 раз и были автоматически заблокированы…

В общем наберитесь самурайского терпения и будьте готовы выслушать жалобы, что невозможно работать и все такое…. Но регламент должен быть соблюден.

Всем хорошей работы!!!

Реклама

22.11.2016 Posted by | ms windows 2008 | Комментарии к записи ПОЛИТИКА ПАРОЛЕЙ В Active Directory WINDOWS 2008 R2. отключены

Траблы GPO Win2008R2 и IE 11.

На днях получили некоторые требования от одной из Web платформ по настройке IE для ее корректной работы. Требования не сложные, но важные для корректного отображения страниц:

— Включить Режим совместимости для портала (или для этого сайта);

— И добавить сайт в доверенные узлы.

Вроде и все требования.

Так как подразумевается, что с платформой будет работать много пользователей (от 250), решили прикрутить настройки через GPO, руками не особо улыбается это каждому.

Контроллеры домена развернуты Win2008R2, пользовательские станции Win8.1 с IE11.

На первый взгляд ничего сложного, открываем GPO

snap1

Можно создать отдельную политику, можно править Default Domain Policy (в моем случае не сильно принципиально)

Далее Конфигурация пользователя

snap2

snap21

Добавляем нужные нам сайты

snap3

Все это сохраняем.

Теперь необходимо добавить этот же сайт в Надежные сайты IE

snap4

snap5

snap6

Ставим цифру 2 так как нас интересует зона надежных сайтов. Все сохраняем.

Далее gpupdate /force

И вроде бы все не плохо, но тут появляется «кулак дружбы», гадки включения в окне режима совместимости становятся не активными (это говорит нам, что политика не отрабатывает), а вот указанный сайт туда никак не добавляет, то есть окно просто пустое. В доверенных узлах сайт благополучно появляется. Еще более интересно, то что результирующая политика показывает, что вроде как сайт добавлен, но по факту на рабочих станциях его нет.

Три дня и три ночи скакал Иван Царевич, пока скакалку не отобрали (не добавляется сайт в список в режиме совместимости и все тут). Всем департаментом стали думать и гадать пробуя различные варианты.

Некоторая полезная информация по теме здесь:

https://technet.microsoft.com/ru-ru/library/jj822325.aspx

или

http://ru-sysadmins.livejournal.com/2176210.html

или

http://forum.oszone.net/nextnewesttothread-278624.html

но пока так и не нашли для себя рабочего решения. Есть версия, что это не работает только в IE11, но в нашем случае это не так, не работает и на более ранних версиях IE. Попросили коллег сделать все тоже самое на контроллерах, поднятых на Windows 2012 (думали может что не так у нас), но у них это тоже не заработало.

Если кто сталкивался с проблемой и уже ее решил, прошу написать в комментариях.

Наше обсуждение на Технете:

https://social.technet.microsoft.com/Forums/ru-RU/d6707977-c1d9-4e99-99d1-0caecf892aaa/-gpo-ie-11-?forum=ws2008r2ru

Всем хорошей работы!!!

 

10.02.2016 Posted by | ms windows 2008 | 2 комментария

Интересный БАГ (Windows 2008+Exchange EMC+Outlook).

На прошлой неделе столкнулись с интересным багом на сервере Exchange 2010.

Для подключения необходимых ящиков, помимо Exchange на этом же сервере у нас установлен Outlook, иногда его используем, чтоб цеплять ящики разных пользователей, бывает необходимость. В один из дней, когда я отсутствовал, один из старших сисадминов авторизовался на сервере под моей учетной записью и «подцепил» ящик одного из пользователей в Outlook, при этом, когда цеплял ящик пользователя вбил учетные данные пользователя и поставил галку сохранить. На первый взгляд обычная рутинная процедура, ничего такого, что могло бы вызвать вопросы.

На следующий день, я авторизовавшись на сервере Exchange под собой (у моей учетной записи есть все необходимые права) и открыв консоль «чанги» обнаружил странную картину. У меня в оснастке отображались следующие вкладки:

snap1

Конфигурация организации была вообще недоступна (Отсутствовали права доступа).

Конфигурация сервера, отсутствовала как таковая.

А получателей можно было только посмотреть.

В обшем я утратил все права, но никто их у меня не отнимал, и это было странно.

Стал проверять группы разрешений Exchange, подробно о них здесь:

http://blogs.technet.com/b/exchange_ru/archive/2010/09/17/exchange-2010-12.aspx

Но все было нормально, моя учетка присутствовала во всех необходимых группах, все права были, но управлять «чангой» было невозможно. Мы всем отделом заинтересовались этим вопросом. Что-то пошло не так 🙂

В оснастке  EMC на моем локальном компьютере все было доступно и работало «Как Швейцарские часы», оставалось понять, что мешает на сервере управлять сервером (тафтология кая-то)?

Проверил локальные разрешения на сервере-все впорядке.

Попробовал воспользоваться вот этой рекомендацией:

http://www.exchangefaq.ru/kak-sdelat-chtobyi-emc-v-exchange-2010-podklyuchalas-k-rodnomu-serveru.html

«пристрелил» конфиг. Не помогло.

Сложилось впечатление, что вероятно проблема в моем профиле на серваке, «пристрелил» и его. Не помогло.

Стал копать дальше…

Стал смотреть настройки IIS на всякий случай, и тут ткнувшись на одну из ссылок обнаружил, что ссылка пытается открыться, всплывает окно авторизации, где уже забиты учетные данные того ящика, корорый ранее был прикручен к Outlook, при том поменять их на мои никак нельзя (окна не активны). Тут меня озарило глянуть вот сюда:

control userspasswords2

snap2

И вот тут, как раз увидел сохраненную «учетку» пользователя, под которой цеплялся ящик пользователя в Outlook днем ранее. Удаляем ее. Перезапускаю консоль EMC и все работает как должно работать.

Порядка двух часов потратили на поиски причины, непонятно бы еще сколько бы скали, не залезь я в IIS.

В следующие дни изучая различные рессурсы, пытался понять, как связана учетная запись «прикрученная» в Outlook с консолью EMC Exchange, но внятного ответа для себя так и не нашел. Если есть комментарии по данному, на мой взгляд, «БАГУ», прошу написать свои мысли…

Всем хорошей работы !!!

31.03.2015 Posted by | ms windows 2008 | Комментарии к записи Интересный БАГ (Windows 2008+Exchange EMC+Outlook). отключены