Chính sách mật khẩu chi tiết (FGPP) cho phép bạn tạo nhiều chính sách mật khẩu cho người dùng hoặc nhóm cụ thể. Nhiều chính sách mật khẩu có sẵn bắt đầu với phiên bản Windows Server 2008 của Active Directory. Trong các phiên bản trước của AD, bạn chỉ có thể tạo một chính sách mật khẩu cho mỗi miền (sử dụng Chính sách miền mặc định).
Trong bài viết này, chúng tôi sẽ trình bày cách tạo và định cấu hình nhiều Đối tượng đặt mật khẩu trong miền Active Directory.
Nội dung:
- Khái niệm chính sách mật khẩu chi tiết
- Cách tạo chính sách đặt mật khẩu (PSO) trong Active Directory?
- Định cấu hình chính sách mật khẩu chi tiết (PSO) bằng PowerShell
Khái niệm chính sách mật khẩu chi tiết
Chính sách mật khẩu chi tiết cho phép quản trị viên tạo nhiều Đối tượng cài đặt mật khẩu tùy chỉnh ( PSO ) trong miền AD. Trong PSO, bạn có thể đặt các yêu cầu về mật khẩu (độ dài, độ phức tạp, lịch sử) và các tùy chọn khóa tài khoản. Chính sách PSO có thể được chỉ định cho người dùng hoặc nhóm cụ thể, nhưng không được gán cho vùng chứa Active Directory (OU). Nếu PSO được chỉ định cho người dùng, thì cài đặt chính sách mật khẩu từ GPO chính sách miền mặc định không còn được áp dụng cho người dùng đó nữa.
Ví dụ:bằng cách sử dụng các chính sách FGPP, bạn có thể tăng yêu cầu về độ dài và độ phức tạp của mật khẩu đối với tài khoản quản trị viên, tài khoản dịch vụ hoặc người dùng có quyền truy cập bên ngoài vào tài nguyên miền (thông qua VPN hoặc DirectAccess).
Các yêu cầu cơ bản để sử dụng nhiều chính sách mật khẩu FGPP trong một miền:
- Cấp chức năng miền của miền Windows Server 2008 hoặc mới hơn;
- Chính sách mật khẩu có thể được chỉ định cho người dùng hoặc Toàn cầu (!) nhóm bảo mật;
- FGPP được áp dụng hoàn toàn (bạn không thể đặt một số cài đặt mật khẩu trong GPO và một số cài đặt trong FGPP)
Làm cách nào để tạo chính sách đặt mật khẩu (PSO) trong Active Directory?
Trên Windows Server 2012 và mới hơn, bạn có thể tạo và chỉnh sửa Chính sách mật khẩu chi tiết từ giao diện đồ họa của Trung tâm quản trị Active Directory (ADAC) bảng điều khiển.
Phiên bản này của AD cũng bao gồm Thùng rác Active Directory, cho phép bạn khôi phục các đối tượng AD đã xóa và Tài khoản Dịch vụ được Quản lý (gMSA).Trong ví dụ này, chúng tôi sẽ trình bày cách tạo và chỉ định chính sách mật khẩu riêng cho Quản trị viên miền nhóm.
Khởi động Trung tâm quản trị Active Directory (dsac.msc
), chuyển sang chế độ xem dạng cây và mở rộng Hệ thống thùng đựng hàng. Tìm Vùng chứa cài đặt mật khẩu , nhấp chuột phải vào nó và chọn Mới -> Mật khẩu Cài đặt.
Chỉ định tên của chính sách mật khẩu (trong ví dụ của chúng tôi là Chính sách mật khẩu dành cho quản trị viên miền ) và định cấu hình cài đặt của nó (độ dài và độ phức tạp tối thiểu của mật khẩu, số lượng mật khẩu được lưu trữ trong lịch sử, cài đặt khóa, tần suất thay đổi mật khẩu, v.v.).
Mỗi tham số PSO (msDS-PasswordSettings
lớp) được mô tả bởi một thuộc tính AD riêng biệt: - msDS-LockoutDuration
- msDS-LockoutObservationWindow
- msDS-LockoutThreshold
- msDS-MaximumPasswordAge
- msDS-MinimumPasswordAge
- msDS-MinimumPasswordLength
- msDS-PasswordComplexityEnabled
- msDS-PasswordHistoryLength
- msDS-PasswordReversibleEncryptionEnabled
- msDS-PasswordSettingsPrecedence
Chú ý đến Mức độ ưu tiên thuộc tính. Thuộc tính này xác định mức độ ưu tiên của chính sách mật khẩu hiện tại. Nếu một đối tượng có nhiều chính sách FGPP được gán cho nó, thì chính sách có giá trị thấp nhất trong trường Ưu tiên sẽ được áp dụng.
Lưu ý .- Nếu người dùng đã chỉ định hai chính sách có cùng giá trị Mức độ ưu tiên, thì chính sách có GUID thấp hơn sẽ được áp dụng.
- Nếu người dùng được chỉ định một số chính sách và một trong số chúng được bật thông qua nhóm bảo mật AD và một chính sách khác được chỉ định trực tiếp cho tài khoản người dùng, thì chính sách được chỉ định cho tài khoản đó sẽ được áp dụng.
Sau đó, thêm nhóm hoặc người dùng trong Áp dụng trực tiếp cho để áp dụng chính sách (trong trường hợp của chúng tôi, đó là Quản trị viên miền). Chúng tôi khuyên bạn nên áp dụng chính sách PSO cho các nhóm hơn là người dùng cá nhân. Lưu chính sách.
Sau đó, chính sách mật khẩu này sẽ được áp dụng cho tất cả các thành viên của nhóm Quản trị viên miền.
Khởi động Người dùng và Máy tính Active Directory (dsa.msc
) bảng điều khiển (với tùy chọn Tính năng nâng cao được bật) và mở thuộc tính của bất kỳ người dùng nào từ nhóm Quản trị viên miền. Chuyển đến tab Trình chỉnh sửa thuộc tính và chọn Đã tạo trong tùy chọn Bộ lọc trường.
Tìm msDS-ResultantPSO thuộc tính người dùng. Thuộc tính này hiển thị chính sách mật khẩu được bật cho người dùng (CN=Password Policy for Domain Admin,CN=Password Settings Container,CN=System,DC=woshub,DC=com
).
Bạn cũng có thể nhận chính sách PSO hiện tại cho người dùng bằng cách sử dụng dsget công cụ:
dsget user "CN=Max,OU=Admins,DC=woshub,DC=com" –effectivepso
Định cấu hình chính sách mật khẩu chi tiết (PSO) bằng PowerShell
Bạn có thể quản lý chính sách mật khẩu PSO bằng PowerShell (mô-đun Active Directory PowerShell phải được cài đặt trên máy tính của bạn).
Lệnh ghép ngắn New-ADFineGrainedPasswordPolicy được sử dụng để tạo PSO mới:
New-ADFineGrainedPasswordPolicy -Name “Admin PSO Policy” -Precedence 10 -ComplexityEnabled $true -Description “Domain password policy for admins”-DisplayName “Admin PSO Policy” -LockoutDuration “0.20:00:00” -LockoutObservationWindow “0.00:30:00” -LockoutThreshold 6 -MaxPasswordAge “12.00:00:00” -MinPasswordAge “1.00:00:00” -MinPasswordLength 8 -PasswordHistoryCount 12 -ReversibleEncryptionEnabled $false
Giờ đây, bạn có thể chỉ định chính sách mật khẩu cho một nhóm người dùng:
Add-ADFineGrainedPasswordPolicySubject “Admin PSO Policy” -Subjects “Domain Admins”
Để thay đổi cài đặt chính sách PSO:
Set-ADFineGrainedPasswordPolicy "Admin PSO Policy" -PasswordHistoryCount:"12"
Liệt kê tất cả các chính sách FGPP trong một miền:
Get-ADFineGrainedPasswordPolicy -Filter *
Sử dụng lệnh Get-ADUserResultantPasswordPolicy để nhận chính sách mật khẩu kết quả áp dụng cho một người dùng cụ thể.
Get-ADUserResultantPasswordPolicy -Identity jsmith
Tên của PSO áp dụng cho người dùng được chỉ định trong Tên trường.
Bạn có thể hiển thị danh sách các chính sách PSO được gán cho một nhóm Active Directory bằng cách sử dụng lệnh ghép ngắn Get-ADGroup:
Get-ADGroup "Domain Admins" -properties * | Select-Object msDS-PSOApplied
Để hiển thị cài đặt chính sách mật khẩu mặc định từ GPO chính sách miền mặc định, hãy chạy lệnh:
Get-ADDefaultDomainPasswordPolicy
P@ssw0rd
, Pa$$w0rd
, v.v. Chúng tôi khuyên bạn nên kiểm tra định kỳ miền của mình để tìm mật khẩu người dùng yếu.