Авторизация



Теги сайта



0х0000007b 1c access control list acl activation active directory ad roles add route adexplorer apache authentication to zabbix bare metal recovery bg zsh bicycle books bruteforce c admin ccna centos centos packet change net adapter name chap chkrootkit chmod cisco clipboard cmd configuring cpu cores cron crontab csc cut cvsup cvsup-without-gui db dev null 2 1 dhcp dhcp reservation disable ipv6 diskpart dism dns domain naming master domain roles download download powershell enable routing on windows enabled end-system doc english english language esx eventlog exe file associations fail2ban fastest_cvsup fedora fg zsh formatdatabase freebsd fsmo get-aduser group policy management hardware https hyper-v idioms iis iperf iptables iscsi jobs kernel panic ldap ldap аутентификация zabbix limit lingualeo linux malware posix mcitp mcsa mcse memory check microsoft mod_ssl mount mssql mysql mysql user password netcache network network config network diagram network document network load balance cluster network scripts nginx nlb num lock numlock openssl pap partition pdc permissions php pipeline pkg_version ports upgrade portupgrade posix powershell ppp pwdlastset rdp reg add regedit registry remote enable restrictions reverse proxy rhel rid rope jumping bridge мост прыжок высота route add route freebsd router switch doc routing protocol rpm sc sc sdset sc sdshow schema scope script output secure web security seize role service permissions services set dns servers set ip address sftp shell script show variables snmp sound scheme sounds speed ssh standard-supfile subinacl supfile switch switchport sync syncronization task sсheduler tempdb topology map transfer role tripplite monitoring tweaks unix user must change password at next logon utf8 vim vlan vmware w32tm web windows windows 2003 r2 windows 2008 r2 windows administrative share windows firewall windows server windows server 2012 windows server backup windows service permissions windows пингалка winre wsus xargs yum zabbix zabbix external check zabbix ldap authentication zsh автоматическое обновление портов freebsd автономные файлы активация английский язык ассоциации файлов windows база данных безопасность active directory буфер вело велосипед видео включение роутинга в windows внешняя проверка zabbix вредоносное программное обеспечение posix документация сети задание двумерного массива захват ролей dc звуки звуковая схема идиомы иероглифы киев кодировка командная строка конфигурация сети маршрутизация маршруты в freebsd маршруты в redhat linux область ограничения windows основные команды отключение административных ресурсов пакеты centos перевод передача ролей dc перенос планировщик задач покатушки полет над днепром проблемы кодировки протокол путь развития в it разрешения служб windows регистрируем cmd скриптом недоступность хоста реестр резервирование ip скриптом роли домена русские символы синхронизация скачать скачать powershell скачать книгу скорость сети списки контроля доступа тарзанка твики фоновые процессы цикл mssql

Главная страница Microsoft POWERSHELL Применение политики паролей PSO на группу
Применение политики паролей PSO на группу Печать

В этой теме я расскажу как в Microsoft Windows Server 2008/2012 применить политику паролей к определенной группе безопасности, либо даже к конкретной учетной записи.

Делается это с помощью создания объекта настроек пароля Password Settings Object (PSO).

Кто не знает, если просто попытаться создать с помощью оснастки GPO политику паролей и прилинковать ее к определенному OU, на доменные аккаунты данные правила распространяться не будут и под их влияние попадут только локальные учетные записи.

Итак, создать и применить объект PSO можно тремя способами (подробно каждый из них описан в статье Microsoft):

  1. используя оснастку ADSI edit;
  2. используя команду ldifde;
  3. с помощью PowerShell.

 

Я предпочитаю пользоваться и опишу именно последний способ.

1. Запускаем c правами администратора домена Active Directory Module for Windows PowerShell.

Либо запускаем PowerShell и вручную подключаем нужный нам модуль:

PS C:\> Get-Module -ListAvailable

ModuleType Name                      ExportedCommands
---------- ----                      ----------------
Manifest   ActiveDirectory           {}
Manifest   ADRMS                     {}
Manifest   AppLocker                 {}
Manifest   BestPractices             {}
Manifest   BitsTransfer              {}
Manifest   GroupPolicy               {}
Manifest   PSDiagnostics             {}
Manifest   ServerManager             {}
Manifest   TroubleshootingPack       {}


PS C:\> Import-Module ActiveDirectory

2. Создадим новый объект PSO, для этого пишем командлет:

PS D:\> New-ADFineGrainedPasswordPolicy -Name "DomainUsersPSO" -DisplayName "Domain Users PSO" -Description "The Domain Users Password Policy" -Precedence 500 -ComplexityEnabled $false -LockoutDuration "0.12:00:00" -LockoutObservationWindow "0.00:15:00" -LockoutThreshold 10 -MaxPasswordAge "60.00:00:00" -MinPasswordAge "1.00:00:00" -MinPasswordLength 8 -PasswordHistoryCount 24 -ReversibleEncryptionEnabled $false

 

где:

-Name - Имя политики PSO. Если планируете создавать несколько PSO, рекомендую сочинять понятные названия.

-DisplayName - Отображаемое имя PSO. Удобочитаемое название, которое мы будем видеть вместо "CN=DomainUsersPSO".

-Description - Комментарий к PSO.

-Precedence - Приоритет политики, в случае если для одного пользователя сконфигурировано несколько объектов PSO, применяется тот, у которого это значение меньше.

-ComplexityEnabled - Булево значение. $true, если хотите чтобы пользователи использовали только сложные пароли и $false, если нет.

-LockoutDuration - Время, на которое учетная запись будет заблокирована, в случае превышения порога неверно вводимых паролей (в виде
[-]D.H:M:S.F )
где:
[-] = Определяет отрицательный временной интервал (предыдущие дни)
D = Дни (0 to 10675199)
H = Часы (0 to 23)
M = Минуты (0 to 59)
S = Секунды (0 to 59)
F = Миллисекунды (0 to 9999999)

-LockoutObservationWindow - Время, по истечению которого счетчик неверно вводимых паролей будет обнулен
(в виде [-]D.H:M:S.F ) .

-LockoutThreshold - Собственно сам порог количества попыток неверно вводимых паролей.

-MaxPasswordAge - Максимальное время действия пароля, по истечению которого пользователь будет вынужден его сменить
(в виде [-]D.H:M:S.F ) .

-MinPasswordAge - Минимальное время действия пароля, до истечения которого пользователь не сможет повторно поменять пароль
(в виде [-]D.H:M:S.F ) .

-MinPasswordLength - Значение минимально допустимого количества символов в пароле.

-PasswordHistoryCount - Количество ранее используемых паролей, которые будет помнить система. Необходимо чтобы пользователь действительно изменял свой пароль, а не "изменял" его на такой же точно.

-ReversibleEncryptionEnabled - Булево значение. $true, если хотите чтобы пароль можно было расшифровать (необходимо для корректной работы некоторых старых программ) и $false, если хотите чтобы шифрование было односторонним (рекомендуется во всех случаях, кроме указанного).

Более подробное описание всех параметром можно получить выполнив команду get-help New-ADFineGrainedPasswordPolicy -detailed

3. Применим созданную нами политику PSO к нужным объектам домена.

PS C:\> Add-ADFineGrainedPasswordPolicySubject DomainUsersPSO -Subjects 'Domain Users' # к группе безопасности "Domain Users"
PS C:\> Add-ADFineGrainedPasswordPolicySubject NameOfYourPSO -Subjects "User1","User2","S-1-5-21-3165297888-301567370-576410423-1103" # к трем конкретным пользователям домена, samAccountName(s) которых "User1" и "User2", третий аккаунт представлен в виде глобального идентификатора GUID
PS C:\> Add-ADFineGrainedPasswordPolicySubject NameOfYourPSO -Subjects CN=User1,OU=MyOrganizationUnit,DC=domain,DC=local # к определенному объекту, представленном в виде distinguishedName
Определить точный distinguishedName можно используя мою статью по PowerShell или с помощью AdExplorer.

 

Просмотр всех существующих в домене объектов PSO

PS C:\> Get-ADFineGrainedPasswordPolicy -Filter *

 

Удаление объекта PSO

PS C:\> Remove-ADFineGrainedPasswordPolicy -Identity NameOfYourPSO

 

Просмотр результата выполнения PSO

PS C:\> Get-ADUserResultantPasswordPolicy User1

 

Дополнительно

После того, как мы создали объект PSO и назначили его определенной группе безопасности, возникает справедливый вопрос: как быстро всех пользователей из определенного контейнера OU добавить в эту группу безопасности? Ответ здесь (ссылка).


Комментарии:

 

КОММЕНТАРИИ 

 
+1 #3 Вадим 09.03.2015 12:43
Спасибо, разобрался.
Цитировать
 
 
#2 Dev_LC 05.03.2015 11:46
Цитирую Вадим:
Здравствуйте.
Я совсем запутался.
Настройка паролей находится в конфигурации компьютера.
Так PSO должна применяться к учетным записям пользователей или компьютеров? :oops:


Не поленитесь прочитать статью с самого начала.
То что находится в GPO (конфигурация компьютера) не имеет ничего общего с материалом этой статьи. Соответственно Ваш вопрос неверен. Не путайте GPO и PSO - это разные вещи
Цитировать
 
 
#1 Вадим 05.03.2015 11:39
Здравствуйте.
Я совсем запутался.
Настройка паролей находится в конфигурации компьютера.
Так PSO должна применяться к учетным записям пользователей или компьютеров? :oops:
Цитировать
 

Добавить комментарий

Чтобы иметь дополнительные опции редактирования, возможность оценивать чужие комментарии и не вводить код Captcha с картинки перед отправкой сообщения, войдите под своим аккаунтом или зарегистрируйтесь.

Защитный код
Обновить

Главная страница Microsoft POWERSHELL Применение политики паролей PSO на группу