Fined-Gained Password Policies (Password Settings Object PSO) 2008 R2

Alptekin Gökçeyrek 19 Nisan 2012 0
  • Sumo

Fined-Gained Password Policies

  • AD kullanıcı veya gruplarına farklı password gereksinimleri (uzunluk, komplex olması, password history vb.) ve account lockout policyleri uygulanabilir.
  • Daha önceki Windows Server versiyonlarında domaindeki tüm kullanıcı ve grupları sadece bir account lockout policy uygulanabilirdi. Fakat bu yapı ile AD’deki kullanıcı ve gruplarına farklı ayarlamalar yapılabilir.
  • Sadece kullanıcı objeleri ve global security gruplarına uygulanabilir.
  • Ou’lara uygulanamaz.
  • Domain Function Level 2008 olmalı
  • PSO oluşturmak için ADSI Edit veya LDIFDE komut satırı kullanılabilir.

Run/çalıştır da adsiedit.msc yazın ve ekranın sol tarafındaki “ADSI Edit” simgesinin üzerine sağ basıp “Connect to” ya basın.

Bu ekranda OK’e tıklayarak bağlantıyı kurun.

DC=napdomain, Dc=local -> CN=System -> CN=Password  Settings Container a sağ basıp New -> Object e tıklayın.

“Select a class” penceresini Next ile geçin.

Value kısmını “It Password” yazarak dolduruyoruz.

“msDS-PasswordSettingsPrecedence” value ekranını 10 değeri vererek geçiyoruz.

msDS-PasswordReversibleEncryptionEnabled = FALSE

msDS-PasswordHistoryLength=30

msDS-PasswordComplexityEnabled =TRUE

msDS-MinimumPasswordLength =10

msDS-MinimumPasswordAge = -5184000000000

msDS-MaximumPasswordAge = -6040000000000

msDS-LockoutThreshold = 3

msDS-LockoutObservationWindow = -18000000000

msDS-LockoutDuration = -18000000000 değerlerini veriyoruz.

MMC yi save etmeden kapatıyoruz.

IT Password Policy’i Gpo İle Bir Gruba Uygulamak

AD Users and Computers’a gir, View -> Advanced Features’i tıkla

Domanin -> System -> Password Settings Container altında IT Password ü bulalım. Sağ basarak “Properties”ine girelim.

Properties ile açılan pencerede Attribute Editor kısmında “msDS-PSOAppliesTo” attribute’unu bulalım ve editleyelim.

İstediğimiz kullanıcı veya grubunu “Add Windows Account”  butonu yardımı ile ekleyelim.

  • Bu aşamada Domain Function Level’ın en az 2008 olmasını kontrol etmeyi unutmayalım. PSO domainde uygulanabilmesi için domainin 2008 olması gerekmektedir.

Bunun için, AD Users and Computers içinde domain ismine sağ basarak “Raise Domain Function Level” a tıklayalım.

Yorum Bırak »

*