Server 2008’de Password Policy ayarları

Volkan Şayf 24 Temmuz 2012 5
  • Sumo

Merhaba Arkadaşlar,

 

Server 2008 için bir çok arkadaşımızın başına dert olan ve İnternet ortamında yeteri kadar Türkçe kaynak bulunmamasından  dolayı bazen aşılamayan bir hal alan  Password Policy hakkında bilgi vermeye çalışacağım.Aynı zamanda sıralı makalelerimi okuyarak kurulum yapan arkadaşlarımı da yönlendirmeye çalışacağım.

Hemen altını çizerek belirtmek istediğim bir kaç şey var;

Account Policy için yapılan ayarlamalar bütün Domain’de  geçerli olur.

Account Policy;

  • Password Policy
  • Account Lockout Policy
  • Kerberos Policy

Başlıklarını kapsar.Ama Server 2008 ile beraber gelen Fine Grained özelliği ile bunu istersek User yada Grup seviyesinde uygulayabiliriz.Bunu bir sonraki makalemde yazacağım.

Server 2008 R2,Foundation,Standart,Enterprise versiyonu  farketmeksizin tüm versiyonlarda Active Directory kurulumundan sonra Pasword Policy Defult olarak aynı gelir.

Gereksenimleri şöyledir;

  • Minimum 7 karakter uzunluğunda olması istenir.
  • Oluşturulan şifre Karmaşık(copmlexity)olmalıdır.Yani büyük ve küçük harf ile içinde rakam bulundurmalı.MesalaAa12345 gibi.
  • Oluşturulan şifre en çok 42 gün kullanılabilir.Gerçi bunu yeni kullanıcı hesabı açarken yada var olan hesabın özelliklerinde Password never expires seçeneğini aktif hale getirerek devre dışı bırakabiliriz.
  • Şifre değişikliğinde kullanıcı bazlı olarak son kullanılan 24 şifreyi sistem hatırlayıp kullanılmasına izin vermez.
  • Kullanıcılar kendi şifrelerini değiştirebilirler fakat aynı gün içinde sadece 1 defa şifre değişikliği yapabilirler.

Gibi oldukça katı ve tamamen kaynaklara istenmeyen kişilerin ulaşmasını engellemek adına Microsoft  tarafından belirlenmiştir.

Ülkemizde bu kalıplara uygun bir şifreleme sistemini kullanmak pek mümkün değildir.

Bundan dolayı biraz daha esnek bir Password Policy oluşturmak gerekmektedir.

Sanırım yeteri kadar ön bilgi sahibi olduk artık Password Policy değişikliklerine geçebiliriz.

Resim-1

 

Resim-1’deki gibi Password Policy değişikliği için Start\Administrative Tools\GroupPolicy Management yoluyla erişebiliriz.

Resim-2

Karışımıza Resim-2’deki Group Policy Management konsulu çıkar.

Resim-3

Bu konsoldaki Default Domain Policy üzerine gelip Edit diyoruz.

Resim-4

Ardından karşımıza Resim-4’teki gibi Group Policy Management Editor penceresi açılıyor.

Resim-5

Burdan sırasıyla;

ComputerConfiguration\Policies\Windows Settings\Security Settings\AccountPolicy\PasswordPolicy

Yolunu takip ediyoruz.Artık karşımızda Password Policy ayarlarımız var.

İlk önce seçeneklerimizi açıklayalım;

Enforce Password History:Son kullanılan şifreleri sistem tarafından kaydedilip kullanımına izin verilmemesi.

Maximum Password Age:Kullanılcı şifresinin değiştirilmeden ne kadar süre kullanılacağı.

Minimum Password Age:Kullanılıcı şifresinin en az ne kadar süre kullanılacağı.

Minimum Password Length:Kullanılıcı şifresinin en az kaç karakter olacağı.

Password Must Meet Complexity Requirements:Kullanılıcı şifresinin  karmaşık(Büyük-küçük harf ve içinde rakam bulundurması) olup olmayacağı.

Store Password Susing Reversible Encryption:Çok detay vermeyeceğim.Belirtmemiz gereken IP SEC protokolünü kullanarak kullanıcıların ortamda oturum açmalarını sağlar.Birde bu seçeneği aktifleştirirsek ortamda Apple varsa oturum açamaz.

Şimdi gelelim istediğimiz şekilde Passwor Policy oluşturmaya.

Resim-5’teki gibi Group Policy Management Editor konsoluna geliyoruz.

Resim-6

Minimum Password Length seçeneğine çift tıklıyoruz.

Resim-7

Password must be at leastDefult olarak 7 karekterdir.Ben şifreyi tek karakterden oluşturmak istediğim için burayı “1” yapıp OK sekmesinı tıklıyorum.Eğer şifrenin boş bırakılabilmesini de istiyorsak “0” yapmamız gerekir.

 

Resim-8

Ardından Password must meet complexity requirements  seçeneğine çift tıklayıp giriyoruz.

Resim-9

Karşımıza gelen ekranda Disabled konumuna getirip OK sekmesiyle işlemi bitiyoruz.

Şimdi yaptığımızı değişikliklerin geçerli olmasını hızlandırmak için yapmamız gereken tek bir işlem kaldı.Normal şartlarda Policy üzerinde yapılan değişiklikler yaklaşık 15 Dakika sonra geçerli olur.Yada oturum kapatıp açamamız gerekir.Ama ne 15 dakika beklemek nede oturum kapatıp açmak yerine daha da hızlandırabilmemiz mümkün.Bunu da komut sistemi üzerinden gerçekleştiririz.

Resim-10

Start(Başlat) üzerine gelip arama çubuğuna cmd yazıyoruz.

Resim-11

Açılan konsola gpupdate /force yazıp çalıştırıyoruz.

Resim-12

Resim-13

Komutumuz başaralı olarak çalıştı.Artık belirlediğimiz  Password Policy kullanıma hazır.

Son olarak dediğimiz gibi Password Policy üzerinde yaptığımız değişiklikler tüm Domain’de geçerli olur.Ama Server 2008 ile beraber gelen Fine Grained özelliği ile bunu istersek User yada Grup seviyesinde uygulayabiliriz.Bir sonraki makalemde bu konuyu açıklamaya çalışacağım.

Umarım faydalı olabilmişimdir.

Bir başka makalede görüşmek üzere….

 

 

 

 

5 Comments »

  1. UĞUR 13 Mart 2013 at 10:45 - Reply

    Mükemmel bir çalışma. Adım adım güzel bi şekilde uyarladım. Elinize sağlık.

  2. harun 06 Mayıs 2013 at 13:19 - Reply

    kayıt yaparken hata alıyorum neden olabilir acaba ayarları dediğiniz gibi yapıyorum mesala şifrenin minimum uzunluğunu 1 yapıyorum ok tıkladığımda hata mesajı geliyor o an için değişmiş oluyor ancak şifrelere uygulayamıyorum gpupdate \ force de yapıyorum tekrar başlattığımda hiçbir değişiklik yapılmamış oluyor neden kaynaklanıyor acaba

  3. ferhun 11 Mayıs 2014 at 22:12 - Reply

    Hocam elinize saglik

  4. aysenur 14 Mart 2017 at 14:38 - Reply

    birçok sitede araştırdım bukadar net ve kolay bir anlatım bulamadım.emeğinize sağlık!

Yorum Bırak »

*