Kompletny przewodnik po konfigurowaniu domyślnych zasad haseł w usłudze Active Directory – najlepsze praktyki i wskazówki. Domyślnie, Usługa Active Directory jest skonfigurowana z domyślną polityką haseł domeny. Ta zasada definiuje wymagania dotyczące haseł dla kont użytkowników Active Directory, takie jak długość hasła, wiek, i tak dalej.
Ustawienia zasad haseł
Wymuś historię haseł:
To ustawienie określa, ile unikalnych haseł należy użyć, aby można było ponownie użyć starego hasła. Na przykład, jeśli moje obecne hasło to „Th334goore0!”, to nie będę mógł ponownie użyć tego hasła, dopóki nie zmienię hasła 24 czasy (lub dowolną liczbę, na którą ustawiono zasadę). To ustawienie jest przydatne, aby użytkownicy nie używali ponownie tego samego hasła. Ustawienie domyślne to 24
Maximum password age:
To ustawienie określa, jak długo (w dniach) hasło może być używane, zanim konieczna będzie jego zmiana. Ustawienie domyślne to 42 dni
Minimum password age
To ustawienie określa, jak długo hasło musi być używane, zanim będzie można je zmienić. Ustawienie domyślne to 1 dzień
Minimum password length
To ustawienie określa, ile znaków musi mieć hasło. Wartość domyślna to 7. Oznacza to, że moje hasło musi zawierać co najmniej 7 pismo.
Hasło musi spełniać wymagania dotyczące złożoności
Jeśli włączone, hasła muszą spełniać te wymagania:
- Nie może zawierać nazwy konta użytkownika ani części pełnego imienia i nazwiska użytkownika przekraczających dwa kolejne znaki
- Mieć co najmniej sześć znaków
- Zawiera znaki z trzech z następujących czterech kategorii:
- Wielkie litery angielskie (od A do Z)
- Małe litery angielskie (od a do z)
- Opierać 10 cyfry (0 Poprzez 9)
- Znaki inne niż alfabetyczne (for example, !, $, #, %)
Opcja ta jest domyślnie włączona
Przechowuj hasła przy użyciu odwracalnego szyfrowania
To ustawienie określa, czy system operacyjny przechowuje hasła przy użyciu szyfrowania odwracalnego. Zasadniczo jest to to samo, co przechowywanie najprostszych wersji haseł. Ta zasada NIGDY nie powinna być włączona, chyba że masz bardzo specyficzne wymagania dotyczące aplikacji.
Zmodyfikuj domyślne zasady haseł domeny
1. Zaloguj się do kontrolera domeny (lub użyj klienta Windows z zainstalowanym RSAT). Click on the Start i znajdź na liście aplikacji Narzędzia administracyjne systemu Windows;
2. Click on Zarządzanie zasadami grupy;
3. Znajdować Domyślna polityka domeny (LasDomeny<Nazwa domeny>\Obiekty zasad grupy);
Jeśli chcesz zmodyfikować niektóre ustawienia zawarte w pliku Domyślny obiekt GPO zasad domeny, zaleca się utworzenie w tym celu nowego obiektu GPO, połącz go z domeną, and set the Egzekwować opcja.
TechNet: Łączenie obiektów GPO
Nie modyfikuj domyślnych zasad domeny ani domyślnych zasad kontrolera domeny, jeśli nie jest to konieczne. Zamiast, utwórz nowy obiekt GPO na poziomie domeny i ustaw go tak, aby zastępował ustawienia domyślne w zasadach domyślnych.
TechNet: Ustanawianie wytycznych operacyjnych zasad grupy
4. Prawy przycisk myszy click on Domyślna polityka domeny and select Redagować;
5. Go to Polityka haseł (Konfiguracja komputeraZasadyUstawienia systemu WindowsUstawienia zabezpieczeńZasady dotyczące haseł) i skonfigurowałem ustawienia zasad haseł do żądanej konfiguracji;
6. Wymuś historię haseł – ile haseł zapamięta system. Ile unikalnych haseł użytkownik musi użyć przy każdym resetowaniu hasła;
7. Maximum Password Age – jak długo będzie ważne hasło. Po tym okresie użytkownik, zostanie wyświetlony monit o zresetowanie hasła. (Możesz ustawić „0" Do "nieograniczony„Czas wieku);
8. Minimum Password Age – po upływie tego okresu użytkownik może zmienić hasło. (Możesz ustawić „0" Do "nieograniczony„Czas wieku);
9. Minimum Password Length – jak długie będą Twoje hasła, ale nie mniej niż ta wartość;
10. Hasło musi spełniać wymagania dotyczące złożoności – możesz ustawić ten parametr, jeśli potrzebujesz bardzo silnych haseł (mały "A” i duży”A„litery, cyfry „1” i symbole specjalne „!„);
11. Przechowuj hasła przy użyciu odwracalnego szyfrowania – domyślnie nie używany w domenie, tylko jeśli aplikacja tego wymagała.
Możesz także wyświetlić domyślną politykę haseł za pomocą Powershell systemu Windows:
Get-ADDefaultDomainPasswordPolicyWSKAZÓWKA: Pamiętaj, aby poinformować wszystkich użytkowników, kiedy masz zamiar to zrobić, ponieważ może to skłonić ich do zmiany hasła przy następnym logowaniu.
NOTATKA: Nawet jeśli zastosujesz zasady haseł do jednostki organizacyjnej „Kontrolery domeny”, nie spowoduje to modyfikacji zasad haseł domeny. O ile wiem, jest to jedyny wyjątek od reguły dotyczącej sposobu, w jaki obiekty zasad grupy odnoszą się do obiektów.
