Політика паролів в active directory

Введення пароля при вході на комп'ютер, є невід'ємною складовою безпеки в домені. Контроль за політикою паролів користувачів (складність пароля, мінімальна довжина і т.д.) є одним із важливих завдань для адміністраторів. У цій статті я детально опишу зміна політики паролів за допомогою GPO для всіх користувачів домену, а так само опишу спосіб як зробити виключення політик паролів для деяких осіб чи груп.

Політика паролів домену конфигурируется об'єктом GPO- Default Domain Policy. яка застосовується для всіх комп'ютерів домену. Для того що б подивитися або внести зміни в політику паролів, необхідно запустити оснащення "Управління груповою політикою", знайти Default Domain Policy. натиснути на неї правою кнопкою миші і вибрати "Змінити".

Політика паролів в active directory

Зайти "Конфігурація комп'ютера" - "Політики" - "Конфігурація Windows" - "Параметри безпеки" - "Політики облікових записів" - "Політика паролів", в правому вікні ви побачите параметри пароля, які застосовуються у вашому домені.

Політика паролів в active directory

Параметр вказує використовувати чи операційною системою для зберігання паролів оборотне шифрування.

Для того що б змінити параметр досить натиснути на ньому і вказати значення. Нагадаю зазначені параметри будуть застосовуватися на всі комп'ютери домену.

Труднощі виникають, якщо у вас в домені повинні бути виключення, тобто користувач або група користувачів для яких необхідні інші умови політики пароля. Для цих цілей необхідно використовувати гранульовану політику пароля. Ці політики представляють окремий клас об'єктів AD, який підтримує параметри гранульованої політики паролів: об'єкт параметрів політики PSO (Password Settings Object). Гранульовані політики пароля не реалізовані як частина групової політики і не застосовуються об'єктами GPO їх можна застосувати окремо до користувача або глобальної групі.

Для того, що б налаштувати PSO необхідно запустити adsiedit.msc, для цього натискаєте кнопку "Пуск". у вікні "Виконати". введіть "adsiedit.msc" і натисніть кнопку "Enter".

Політика паролів в active directory

Натисніть на кнопку "OK", щоб вибрати стандартні параметри в діалоговому вікні "Параметри підключення" або в поле Ім'я введіть повне доменне ім'я для того домену, в якому потрібно створити об'єкт параметрів паролів, а потім натисніть кнопку "ОК".

Політика паролів в active directory

Далі зайдіть по шляху "DC =<имя_домена>"-" CN = System "-" CN = Password Setings Container ".

Клацніть правою кнопкою пункт "CN = Password Setings Container". виберіть команду "Створити". а потім пункт "Об'єкт".

Політика паролів в active directory

У діалоговому вікні Створення об'єкта в розділі Виберіть клас клацніть атрибут msDS-PasswordSettings (вибору як такого у вас не буде, оскільки атрибут буде один), потім натисніть кнопку "Далі".

Політика паролів в active directory

Після цього майстер допоможе створити об'єкт налаштувань для пароля Password Settings Object. Необхідно буде вказати значення для кожного з наступних 10 атрибутів. Нижче наведено таблицю з коротким описом і можливими значеннями атрибутів.