В этой теме я расскажу как в Microsoft Windows Server 2008/2012 применить политику паролей к определенной группе безопасности, либо даже к конкретной учетной записи.

Делается это с помощью создания объекта настроек пароля Password Settings Object (PSO).

Кто не знает, если просто попытаться создать с помощью оснастки GPO политику паролей и прилинковать ее к определенному OU, на доменные аккаунты данные правила распространяться не будут и под их влияние попадут только локальные учетные записи.

Итак, создать и применить объект PSO можно тремя способами (подробно каждый из них описан в статье Microsoft):

1. используя оснастку ADSI edit;
2. используя команду ldifde;
3. с помощью PowerShell.

Я предпочитаю пользоваться и опишу именно последний способ.

1. Запускаем c правами администратора домена Active Directory Module for Windows PowerShell.

Либо запускаем PowerShell и вручную подключаем нужный нам модуль:

PS C:\> Get-Module -ListAvailable

ModuleType Name                      ExportedCommands
---------- ----                      ----------------
Manifest   ActiveDirectory           {}
Manifest   ADRMS                     {}
Manifest   AppLocker                 {}
Manifest   BestPractices             {}
Manifest   BitsTransfer              {}
Manifest   GroupPolicy               {}
Manifest   PSDiagnostics             {}
Manifest   ServerManager             {}
Manifest   TroubleshootingPack       {}


PS C:\> Import-Module ActiveDirectory

2. Создадим новый объект PSO, для этого пишем командлет:

PS D:\> New-ADFineGrainedPasswordPolicy -Name "DomainUsersPSO" -DisplayName "Domain Users PSO" -Description "The Domain Users Password Policy" -Precedence 500 -ComplexityEnabled $false -LockoutDuration "0.12:00:00" -LockoutObservationWindow "0.00:15:00" -LockoutThreshold 10 -MaxPasswordAge "60.00:00:00" -MinPasswordAge "1.00:00:00" -MinPasswordLength 8 -PasswordHistoryCount 24 -ReversibleEncryptionEnabled $false

где:

-Name - Имя политики PSO. Если планируете создавать несколько PSO, рекомендую сочинять понятные названия.

-DisplayName - Отображаемое имя PSO. Удобочитаемое название, которое мы будем видеть вместо "CN=DomainUsersPSO".

-Description - Комментарий к PSO.

-Precedence - Приоритет политики, в случае если для одного пользователя сконфигурировано несколько объектов PSO, применяется тот, у которого это значение меньше.

-ComplexityEnabled - Булево значение. $true, если хотите чтобы пользователи использовали только сложные пароли и $false, если нет.

-LockoutDuration - Время, на которое учетная запись будет заблокирована, в случае превышения порога неверно вводимых паролей (в виде [-]D.H:M:S.F )
где:
[-] = Определяет отрицательный временной интервал (предыдущие дни)
D = Дни (0 to 10675199)
H = Часы (0 to 23)
M = Минуты (0 to 59)
S = Секунды (0 to 59)
F = Миллисекунды (0 to 9999999)

-LockoutObservationWindow - Время, по истечению которого счетчик неверно вводимых паролей будет обнулен (в виде [-]D.H:M:S.F ) .

-LockoutThreshold - Собственно сам порог количества попыток неверно вводимых паролей.

-MaxPasswordAge - Максимальное время действия пароля, по истечению которого пользователь будет вынужден его сменить (в виде [-]D.H:M:S.F ) .

-MinPasswordAge - Минимальное время действия пароля, до истечения которого пользователь не сможет повторно поменять пароль (в виде [-]D.H:M:S.F ) .

-MinPasswordLength - Значение минимально допустимого количества символов в пароле.

-PasswordHistoryCount - Количество ранее используемых паролей, которые будет помнить система. Необходимо чтобы пользователь действительно изменял свой пароль, а не "изменял" его на такой же точно.

-ReversibleEncryptionEnabled - Булево значение. $true, если хотите чтобы пароль можно было расшифровать (необходимо для корректной работы некоторых старых программ) и $false, если хотите чтобы шифрование было односторонним (рекомендуется во всех случаях, кроме указанного).

Более подробное описание всех параметром можно получить выполнив команду get-help New-ADFineGrainedPasswordPolicy -detailed

3. Применим созданную нами политику PSO к нужным объектам домена.

PS C:\> Add-ADFineGrainedPasswordPolicySubject DomainUsersPSO -Subjects 'Domain Users' # к группе безопасности "Domain Users"
PS C:\> Add-ADFineGrainedPasswordPolicySubject NameOfYourPSO -Subjects "User1","User2","S-1-5-21-3165297888-301567370-576410423-1103" # к трем конкретным пользователям домена, samAccountName(s) которых "User1" и "User2", третий аккаунт представлен в виде глобального идентификатора GUID
PS C:\> Add-ADFineGrainedPasswordPolicySubject NameOfYourPSO -Subjects CN=User1,OU=MyOrganizationUnit,DC=domain,DC=local # к определенному объекту, представленном в виде distinguishedName

Определить точный distinguishedName можно используя мою статью по PowerShell или с помощью AdExplorer.

Просмотр всех существующих в домене объектов PSO

PS C:\> Get-ADFineGrainedPasswordPolicy -Filter *

Удаление объекта PSO

PS C:\> Remove-ADFineGrainedPasswordPolicy -Identity NameOfYourPSO

Просмотр результата выполнения PSO

PS C:\> Get-ADUserResultantPasswordPolicy User1

Дополнительно

После того, как мы создали объект PSO и назначили его определенной группе безопасности, возникает справедливый вопрос: как быстро всех пользователей из определенного контейнера OU добавить в эту группу безопасности? Ответ здесь (ссылка).