คำแนะนำขั้นสูงสุดในการกำหนดค่านโยบายรหัสผ่านเริ่มต้นใน Active Directory – แนวทางปฏิบัติที่ดีที่สุดและเคล็ดลับ. โดยค่าเริ่มต้น, Active Directory ได้รับการกำหนดค่าด้วยนโยบายรหัสผ่านโดเมนเริ่มต้น. นโยบายนี้กำหนดข้อกำหนดรหัสผ่านสำหรับบัญชีผู้ใช้ Active Directory เช่น ความยาวของรหัสผ่าน, อายุ, และอื่น ๆ.
การตั้งค่านโยบายรหัสผ่าน
บังคับใช้ประวัติรหัสผ่าน:
การตั้งค่านี้กำหนดจำนวนรหัสผ่านที่ไม่ซ้ำกันที่ต้องใช้ก่อนจึงจะสามารถใช้รหัสผ่านเก่าซ้ำได้. ตัวอย่างเช่น, หากรหัสผ่านปัจจุบันของฉันคือ “Th334goore0!” จากนั้นฉันก็ไม่สามารถใช้รหัสผ่านนั้นซ้ำได้จนกว่าฉันจะเปลี่ยนรหัสผ่าน 24 ครั้ง (หรือเลขกรมธรรม์ใดที่ตั้งไว้). การตั้งค่านี้มีประโยชน์เพื่อให้ผู้ใช้ไม่ต้องใช้รหัสผ่านเดิมซ้ำๆ. การตั้งค่าเริ่มต้นคือ 24
อายุรหัสผ่านสูงสุด:
การตั้งค่านี้กำหนดระยะเวลาที่รหัสผ่านสามารถใช้ได้ก่อนที่จะต้องเปลี่ยน. การตั้งค่าเริ่มต้นคือ 42 วัน
อายุรหัสผ่านขั้นต่ำ
การตั้งค่านี้จะกำหนดระยะเวลาที่ต้องใช้รหัสผ่านจึงจะสามารถเปลี่ยนได้. การตั้งค่าเริ่มต้นคือ 1 วัน
ความยาวรหัสผ่านขั้นต่ำ
การตั้งค่านี้กำหนดจำนวนอักขระที่รหัสผ่านต้องมี. ค่าเริ่มต้นคือ 7. ซึ่งหมายความว่ารหัสผ่านของฉันต้องมีอย่างน้อย 7 ตัวอักษร
รหัสผ่านต้องเป็นไปตามข้อกำหนดด้านความซับซ้อน
หากเปิดใช้งานรหัสผ่านต้องเป็นไปตามข้อกำหนดเหล่านี้:
- ไม่มีชื่อบัญชีผู้ใช้หรือบางส่วนของชื่อเต็มของผู้ใช้ที่ยาวเกินสองตัวติดต่อกัน
- มีความยาวอย่างน้อยหกอักขระ
- มีอักขระจากสามในสี่หมวดหมู่ต่อไปนี้:
- อักขระตัวพิมพ์ใหญ่ภาษาอังกฤษ (A ถึง Z)
- อักขระตัวพิมพ์เล็กภาษาอังกฤษ (ก ถึง z)
- ฐาน 10 ตัวเลข (0 ผ่าน 9)
- อักขระที่ไม่ใช่ตัวอักษร (ตัวอย่างเช่น, !, $, #, %)
สิ่งนี้ถูกเปิดใช้งานตามค่าเริ่มต้น
จัดเก็บรหัสผ่านโดยใช้การเข้ารหัสแบบย้อนกลับ
การตั้งค่านี้กำหนดว่าระบบปฏิบัติการจัดเก็บรหัสผ่านโดยใช้การเข้ารหัสแบบย้อนกลับหรือไม่. โดยพื้นฐานแล้วมันเหมือนกับการจัดเก็บรหัสผ่านเวอร์ชันที่ละเอียดที่สุด. ไม่ควรตั้งค่านโยบายนี้ให้เปิดใช้งาน เว้นแต่คุณจะมีข้อกำหนดแอปพลิเคชันที่เฉพาะเจาะจงบางประการ.
แก้ไขนโยบายรหัสผ่านโดเมนเริ่มต้น
1. เข้าสู่ระบบตัวควบคุมโดเมนของคุณ (หรือใช้ไคลเอนต์ windows ที่ติดตั้ง RSAT). คลิกที่ เริ่ม ปุ่มและค้นหาในรายการแอพ เครื่องมือการดูแลระบบ Windows;
2. คลิกที่ การจัดการนโยบายกลุ่ม;
3. หา นโยบายโดเมนเริ่มต้น (ป่าโดเมน<ชื่อโดเมน>\วัตถุนโยบายกลุ่ม);
หากคุณต้องการแก้ไขการตั้งค่าบางอย่างที่มีอยู่ใน GPO นโยบายโดเมนเริ่มต้น, ขอแนะนำให้คุณสร้าง GPO ใหม่เพื่อจุดประสงค์นี้, เชื่อมโยงไปยังโดเมน, และตั้งค่า บังคับใช้ ตัวเลือก.
เทคเน็ต: การเชื่อมโยง GPO
อย่าปรับเปลี่ยนนโยบายโดเมนเริ่มต้นหรือนโยบายตัวควบคุมโดเมนเริ่มต้นเว้นแต่จำเป็น. แทน, สร้าง GPO ใหม่ในระดับโดเมนและตั้งค่าให้แทนที่การตั้งค่าเริ่มต้นในนโยบายเริ่มต้น.
เทคเน็ต: การสร้างแนวปฏิบัตินโยบายกลุ่ม
4. ปุ่มเมาส์ขวา คลิกที่ นโยบายโดเมนเริ่มต้น และเลือก แก้ไข;
5. ไปที่ นโยบายรหัสผ่าน (คอมพิวเตอร์ ConfigurationPoliciesWindows SettingsSecurity SettingsPassword Policy) และกำหนดการตั้งค่านโยบายรหัสผ่านให้เป็นการกำหนดค่าที่คุณต้องการ;
6. บังคับใช้ประวัติรหัสผ่าน – ระบบจะจดจำรหัสผ่านได้กี่รหัส. ผู้ใช้ต้องใช้รหัสผ่านที่ไม่ซ้ำกันจำนวนเท่าใดในการรีเซ็ตรหัสผ่านทุกครั้ง;
7. อายุรหัสผ่านสูงสุด – รหัสผ่านจะคงอยู่ได้นานแค่ไหนหลังจากผู้ใช้ช่วงนี้, จะถูกขอให้รีเซ็ตรหัสผ่าน. (คุณสามารถตั้งค่า “0" สำหรับ "ไม่ จำกัด” อายุ);
8. อายุรหัสผ่านขั้นต่ำ – ผู้ใช้สามารถเปลี่ยนรหัสผ่านได้หลังจากช่วงเวลานี้. (คุณสามารถตั้งค่า “0" สำหรับ "ไม่ จำกัด” อายุ);
9. ความยาวรหัสผ่านขั้นต่ำ – รหัสผ่านของคุณจะอยู่ได้นานแค่ไหน, แต่ไม่น้อยกว่าค่านี้;
10. รหัสผ่านต้องเป็นไปตามข้อกำหนดด้านความซับซ้อน – คุณสามารถตั้งค่าพารามิเตอร์นี้ได้หากต้องการรหัสผ่านที่รัดกุมมาก (เล็ก "ก” และใหญ่ “ก” ตัวอักษร, ตัวเลข “1” และสัญลักษณ์พิเศษ “!“);
11. จัดเก็บรหัสผ่านโดยใช้การเข้ารหัสแบบย้อนกลับ – โดยค่าเริ่มต้นไม่ได้ใช้ในโดเมน, เฉพาะในกรณีที่แอปพลิเคชันจำเป็นต้องใช้เท่านั้น.
คุณยังสามารถดูนโยบายรหัสผ่านเริ่มต้นได้ด้วย วินโดวส์ พาวเวอร์เชลล์:
Get-ADDefaultDomainPasswordPolicy
เคล็ดลับ: ตรวจสอบให้แน่ใจว่าคุณแจ้งผู้ใช้ทั้งหมดของคุณเมื่อคุณจะทำเช่นนี้ เนื่องจากอาจทำให้พวกเขาเปลี่ยนรหัสผ่านในครั้งถัดไปที่พวกเขาเข้าสู่ระบบ.
บันทึก: แม้ว่าคุณจะใช้นโยบายรหัสผ่านกับ OU “ตัวควบคุมโดเมน” ก็จะไม่แก้ไขนโยบายรหัสผ่านของโดเมน. เท่าที่ฉันรู้, นี่เป็นข้อยกเว้นเพียงอย่างเดียวสำหรับกฎเกี่ยวกับวิธีการนำ GPO ไปใช้กับออบเจ็กต์.