Guida definitiva alla configurazione della politica password predefinita in Active Directory – Migliori Pratiche e Suggerimenti. Per impostazione predefinita, Active Directory è configurato con un criterio di password di dominio predefinito. Questo criterio definisce i requisiti della password per gli account utente di Active Directory, ad esempio la lunghezza della password, età, e così via.
Impostazioni criteri password
Imponi la cronologia delle password:
Questa impostazione definisce quante password univoche devono essere utilizzate prima che una vecchia password possa essere riutilizzata. Per esempio, se la mia password attuale è “Th334goore0!" quindi non posso riutilizzare quella password fino a quando non avrò cambiato la mia password 24 volte (o qualunque sia il numero su cui è impostata la polizza). Questa impostazione è utile in modo che gli utenti non continuino a riutilizzare la stessa password. L'impostazione predefinita è 24
Età massima della password:
Questa impostazione definisce per quanto tempo una password può essere utilizzata prima che sia necessario modificarla. L'impostazione predefinita è 42 giorni
Età minima della password
Questa impostazione determina per quanto tempo deve essere utilizzata una password prima che possa essere modificata. L'impostazione predefinita è 1 giorno
Lunghezza minima della password
Questa impostazione determina quanti caratteri deve avere una password. L'impostazione predefinita è 7. Ciò significa che la mia password deve contenere almeno 7 caratteri.
La password deve soddisfare i requisiti di complessità
Se abilitate, le password devono soddisfare questi requisiti:
- Non contenere il nome dell'account dell'utente o parti del nome completo dell'utente che superano i due caratteri consecutivi
- Essere di almeno sei caratteri di lunghezza
- Contengono caratteri di tre delle seguenti quattro categorie:
- Caratteri maiuscoli inglesi (dalla A alla Z)
- Caratteri minuscoli inglesi (dalla a alla z)
- Base 10 cifre (0 Attraverso 9)
- Caratteri non alfabetici (Per esempio, !, $, #, %)
Questo è abilitato per impostazione predefinita
Archivia le password utilizzando la crittografia reversibile
Questa impostazione determina se il sistema operativo archivia la password utilizzando la crittografia reversibile. Questo è essenzialmente lo stesso che archiviare le versioni plantest delle password. Questo criterio non deve MAI essere impostato su abilitato a meno che non si disponga di requisiti applicativi molto specifici.
Modifica la politica della password di dominio predefinita
1. Accedi al tuo controller di dominio (o utilizzare un client Windows con RSAT installato). Clicca sul Inizio pulsante e trova nell'elenco delle app Strumenti di amministrazione di Windows;
2. Clicca su Gestione criteri di gruppo;
3. Trovare Criterio di dominio predefinito (Forest\Domains\<Nome del dominio>\Oggetti Criteri di gruppo);
Se è necessario modificare alcune delle impostazioni contenute nel file Oggetto Criteri di dominio predefinito, si consiglia di creare un nuovo oggetto Criteri di gruppo a tale scopo, collegarlo al dominio, e impostare il Imporre opzione.
Technet: Collegamento di oggetti Criteri di gruppo
Non modificare il criterio di dominio predefinito o il criterio del controller di dominio predefinito a meno che non sia necessario. Invece, creare un nuovo oggetto Criteri di gruppo a livello di dominio e impostarlo per sovrascrivere le impostazioni predefinite nei criteri predefiniti.
Technet: Definizione delle linee guida operative dei criteri di gruppo
4. Pulsante destro del mouse clicca su Criterio di dominio predefinito e seleziona Modificare;
5. Vai a Politica password (Computer Configuration\Policies\Windows Settings\Security Settings\Password Policy) e configurato le impostazioni dei criteri di password sulla configurazione desiderata;
6. Imponi la cronologia delle password – quante password ricorderà il sistema. Quante password univoche l'utente deve utilizzare ogni volta che reimposta la password;
7. Età massima della password – quanto durerà la password Dopo questo periodo utente, verrà richiesto di reimpostare la password. (Puoi impostare "0" per "illimitato"tempo di età);
8. Età minima della password – l'utente può cambiare la password dopo questo periodo. (Puoi impostare "0" per "illimitato"tempo di età);
9. Lunghezza minima della password – quanto tempo saranno le tue password, ma non inferiore a questo valore;
10. La password deve soddisfare i requisiti di complessità – puoi impostare questo parametro se hai bisogno di password molto complesse (piccolo "UN” e grande “UN” lettere, cifre “1” e simboli speciali “!“);
11. Archivia le password utilizzando la crittografia reversibile – per impostazione predefinita non utilizzato nel dominio, solo se l'applicazione lo richiedeva.
È inoltre possibile visualizzare la politica della password predefinita con PowerShell di Windows:
Get-ADDefaultDomainPasswordPolicy
MANCIA: Assicurati di informare tutti i tuoi utenti quando lo farai in quanto potrebbe spingerli a cambiare la loro password la prossima volta che accedono.
NOTA: Anche se applichi i criteri per la password all'unità organizzativa "Controller di dominio", non modificherà i criteri per la password del dominio. Per quanto ne so, questa è l'unica eccezione alla regola relativa all'applicazione degli oggetti Criteri di gruppo agli oggetti.