Domain-jelszó-politika az ablakokhoz, a rendszergazda számára
Ezek az alapértelmezett házirend-beállítások a tartományhoz tartozó összes tartományi fiókra és felhasználóra vonatkoznak. Ezt az okozza, hogy a Csoportházirend egy paramétert örökli az Active Directory struktúrájában. Ahhoz, hogy megértsük, hogy ezek a politikák érintik a tartományi fiók és a helyi felhasználó, meg kell érteni, ahol ezek a politikák vannak beállítva, és hogyan öröksége csoportházirend hatással van az összes számlák. (Megjegyzendő, hogy a Kerberos politika beállítás csak a tartomány felhasználói fiókokat, mivel a Kerberos hitelesítésre használható csak tartományi fiókok. Helyi számlákat használják NTLMv2 azonosítás, NTLM vagy LM).
A csoportházirend-objektum beállításai szabályozzák az összes domain felhasználói fiók és a domain összes számítógépének fiókszabályzatát. Vegye figyelembe, hogy minden tartományi számítógépen (mind asztali számítógépeken, mind kiszolgálókon) van egy helyi Biztonsági fiókkezelő (SAM). Ezt a diszpécsert a GPO beállításai vezérlik. Ezenkívül a helyi SAM kezelő minden egyes számítógéphez helyi felhasználói fiókokat tartalmaz.
Az alapértelmezett tartományi házirend-beállítások hatással vannak a tartomány összes számítógépére azáltal, hogy örökölnek csoportházirend-objektumokat az Active Directory struktúrájában. Mivel ez a csoportházirend-objektum egy tartományvezérlővel társul, az összes tartományi számítógépfiók ettől függ.
Mit nem lehet tenni az aktuális jelszó-irányelvekkel?
Például sok rendszergazda úgy véli, hogy ugyanabban a tartományban lévő felhasználók több jelszó-házirendet is tartalmazhatnak. Feltételezik, hogy létrehozhat egy csoportházirend-objektumot, és összekapcsolhatja az OU-val. Az elképzelés az, hogy a számlákat az OU-ra mozgatják, hogy a GPO befolyásolja őket. A csoportházirend-objektumon belül módosulnak a felhasználói fiókok irányelvei, és biztonságosabb jelszó-házirend jön létre, például 14 karakternél hosszabb jelszó meghatározásával. Számos okból azonban ilyen konfiguráció nem ad a kívánt eredményt. Először is, a jelszó-házirend-beállítások számítógépeken alapulnak, nem pedig felhasználókon. Emiatt nem érinti a felhasználói fiókokat. Másodszor, az egyetlen módja annak, hogy módosítsák a domain felhasználói fiók fióktervének beállításait, egy GPO, amely a tartományhoz kapcsolódik. GPO társított egységek, amelyek megváltoztassa fiókházirendeket, módosítsa a helyi Credential Manager számítógépes biztonság feljegyzések vannak az egység vagy zárt egységek társítva egység.
A második helytelen feltételezés az, hogy a root tartományban telepített fiókok (az Active Directory erdő kezdeti tartománya) házirend-beállításait a gyermek erdei tartományai fogják örökli. Ez nem igaz. A paraméterek ilyen módon történő működtetése lehetetlen. Az ugyanazon a tartományon belüli tartományhoz és szervezeti egységekhez társított csoportházirend-objektumok nem érintik a másik tartományban lévő objektumokat, még akkor sem, ha a kapcsolódó csoportházirend-objektumokkal rendelkező tartomány a gyökérdomén. Az egyetlen módja annak, hogy a csoportházirend-objektumokat különböző tartományokban terjessze, a csoportházirend-objektumok összekapcsolása az Active Directory webhelyeivel.
A jelszavak kezelése
Amint láthatja, a fiókszabályzat-beállításokhoz kapcsolódó csoportházirend-beállítások attribútumok formájában ismétlődnek. Meg kell jegyezni, hogy prioritást is meg kell adni. Ez több jelszószabályzat alkalmazása egy tartományban, mivel a politikusok közötti konfliktusok elkerülhetetlenül felmerülnek, és mechanizmusra van szükségük ezek megszüntetéséhez.
A fiók-házirend-beállítások megadása
Minden létrehozott objektumhoz minden attribútumot ki kell töltenie, hogy a fiókszabályzat minden felhasználóra érvényes legyen. Van egy új attribútum, az msDS-PSOAppliesTo, amely meghatározza, hogy melyik objektumra vonatkoznak a házirend-beállítások. Ez a legfontosabb attribútum, amellyel különböző paramétereket állíthat be a különböző felhasználók számára. Ez az attribútum olyan listára vonatkozik, amelyben mind a felhasználók, mind a csoportok tartózkodhatnak, azonban célszerű, hogy az egyes felhasználók helyett csoportokat használjon, mint minden más esetben, amikor a hozzáférés-ellenőrzési listákkal dolgozik. A csoportok stabilabbak, világosabbak és sokkal könnyebben kezelhetők.
Sok éven át mindannyian különböző jelszó-házirendeket akarunk használni egy Active Directory tartományban, és most ez végül lehetséges. Már nem szükséges ugyanazt a biztonsági szintet alkalmazni a teljes domain összes felhasználójára a jelszavak tekintetében. Most például beállíthatja a beállításokat, hogy a hétköznapi felhasználók jelszó hossza 8 karakter, és az informatikai szakemberek (akik esetleg admin jogokkal) - A jelszó maximum 14 karakter.