Lõplik juhend vaikeparoolipoliitika konfigureerimiseks Active Directory'is – Parimad tavad ja näpunäited. Algselt, Active Directory on konfigureeritud domeeni parooli vaikepoliitikaga. See reegel määrab Active Directory kasutajakontode paroolinõuded (nt parooli pikkuse)., vanus, ja nii edasi.
Paroolipoliitika seaded
Jõustage parooli ajalugu:
See säte määrab, kui palju kordumatuid paroole tuleb kasutada enne, kui vana parooli saab uuesti kasutada. Näiteks, kui mu praegune parool on "Th334goore0!", siis ei saa ma seda parooli uuesti kasutada enne, kui olen oma parooli muutnud 24 korda (või mis iganes numbrile poliis on seatud). See seade on kasulik, et kasutajad ei kasutaks sama parooli pidevalt. Vaikeseade on 24
Maksimaalne parooli vanus:
See säte määrab, kui kaua päevades saab parooli kasutada, enne kui seda tuleb muuta. Vaikeseade on 42 päevadel
Minimaalne parooli vanus
See säte määrab, kui kaua tuleb parooli kasutada, enne kui seda saab muuta. Vaikeseade on 1 päeval
Minimaalne parooli pikkus
See säte määrab, mitu tähemärki peab parool sisaldama. Vaikimisi on 7. See tähendab, et minu parool peab sisaldama vähemalt 7 tegelased.
Parool peab vastama keerukuse nõuetele
Kui see on lubatud, peavad paroolid nendele nõuetele vastama:
- Ei tohi sisaldada kasutaja konto nime ega kasutaja täisnime osi, mis on pikemad kui kaks järjestikust tähemärki
- Peab olema vähemalt kuus tähemärki pikk
- Sisaldab tegelasi kolmest järgmisest neljast kategooriast:
- Ingliskeelsed suurtähed (A kuni Z)
- Inglise väiketähed (a kuni z)
- Alus 10 numbrid (0 läbi 9)
- Mittetähestikulised märgid (näiteks, !, $, #, %)
See on vaikimisi lubatud
Salvestage paroolid pöörduva krüptimise abil
See säte määrab, kas operatsioonisüsteem salvestab parooli, kasutades pöörduvat krüptimist. See on sisuliselt sama, mis paroolide kõige tehaseversioonide salvestamine. Seda reeglit ei tohiks KUNAGI lubada, välja arvatud juhul, kui teil on rakendusele väga spetsiifilised nõuded.
Muutke domeeni vaikeparoolipoliitikat
1. Logige sisse oma domeenikontrollerisse (või kasutage installitud RSAT-iga Windowsi klienti). Klõpsake nuppu Alusta nuppu ja leidke rakenduste loendist Windowsi haldustööriistad;
2. Kliki Grupipoliitika haldamine;
3. Otsi Vaikimisi domeenipoliitika (Forest\Domains\<Domeeninimi>\Grupipoliitika objektid);
Kui teil on vaja mõnda jaotises sisalduvat seadet muuta Vaikimisi domeenipoliitika GPO, selleks on soovitatav luua uus GPO, linkida see domeeniga, ja määrake Jõustada valik.
TechNet: GPO-de linkimine
Ärge muutke vaikedomeenipoliitikat ega domeenikontrolleri vaikepoliitikat, kui see pole vajalik. Selle asemel, looge domeeni tasemel uus GPO ja määrake see vaikepoliitikate vaikesätteid alistama.
TechNet: Grupipoliitika tegevusjuhiste kehtestamine
4. Hiire parem nupp kliki Vaikimisi domeenipoliitika ja valige Muuda;
5. Minema Paroolipoliitika (Computer Configuration\Policies\Windows Settings\Security Settings\Password Policy) ja konfigureeris paroolipoliitika seaded soovitud konfiguratsiooni järgi;
6. Jõustage parooli ajalugu – kui palju paroole süsteem meelde jätab. Kui palju kordumatuid paroole peab kasutaja parooli igakordsel lähtestamisel kasutama;
7. Maksimaalne parooli vanus – kui kaua parool kestab Pärast seda perioodi kasutaja, palutakse parool lähtestada. (Saate määrata "0" jaoks"piiramatu” vanuse aeg);
8. Minimaalne parooli vanus – kasutaja võib pärast seda perioodi parooli muuta. (Saate määrata "0" jaoks"piiramatu” vanuse aeg);
9. Minimaalne parooli pikkus – kui pikad on teie paroolid, kuid mitte vähem kui see väärtus;
10. Parool peab vastama keerukuse nõuetele - võite selle parameetri määrata, kui vajate väga tugevaid paroole (väike"a"ja suur"A” tähed, numbrid "1" ja erisümbolid "!“);
11. Salvestage paroolid pöörduva krüptimise abil – vaikimisi ei kasutata domeenis, ainult siis, kui rakendus seda nõuab.
Saate vaadata ka vaikeparoolipoliitikat Windows Powershell:
Get-ADDefaultDomainPasswordPolicy
VIHJE: Teavitage kindlasti kõiki oma kasutajaid, kui kavatsete seda teha, kuna see võib käivitada nad järgmisel sisselogimisel parooli muutma.
MÄRGE: Isegi kui rakendate paroolipoliitikaid domeenikontrollerite OU-le, ei muuda see domeeni paroolipoliitikat. Nii palju kui ma tean, see on ainus erand reeglist, kuidas GPO-sid objektidele kohaldatakse.