Повний посібник із налаштування політики паролів за замовчуванням у Active Directory – Найкращі практики та поради. За замовчуванням, У Active Directory налаштовано політику паролів домену за умовчанням. Ця політика визначає вимоги до пароля для облікових записів користувачів Active Directory, наприклад довжину пароля, вік, і так далі.
Параметри політики паролів
Застосовувати історію паролів:
Цей параметр визначає, скільки унікальних паролів потрібно використати, перш ніж старий пароль можна буде використовувати повторно. Наприклад, якщо мій поточний пароль «Th334goore0!», тоді я не зможу повторно використати цей пароль, доки не зміню пароль 24 разів (або будь-яке інше число, на яке встановлено політику). Цей параметр корисний, щоб користувачі не використовували один і той самий пароль. Значення за замовчуванням – 24
Максимальний вік пароля:
Цей параметр визначає, скільки днів можна використовувати пароль, перш ніж його потрібно буде змінити. За замовчуванням встановлено 42 днів
Мінімальний вік пароля
Цей параметр визначає, як довго потрібно використовувати пароль, перш ніж його можна буде змінити. За замовчуванням встановлено 1 день
Мінімальна довжина пароля
Цей параметр визначає, скільки символів має містити пароль. За замовчуванням 7. Це означає, що мій пароль має містити принаймні 7 персонажів.
Пароль повинен відповідати вимогам складності
Якщо ввімкнено, паролі мають відповідати цим вимогам:
- Не містити ім’я облікового запису користувача або частини повного імені користувача, які перевищують два послідовні символи
- Довжина має бути не менше шести символів
- Містить символи трьох із чотирьох наступних категорій:
- Англійські великі літери (від А до Я)
- Англійські малі літери (від a до z)
- База 10 цифри (0 через 9)
- Неалфавітні символи (наприклад, !, $, #, %)
Це ввімкнено за умовчанням
Зберігайте паролі за допомогою оборотного шифрування
Цей параметр визначає, чи операційна система зберігає пароль за допомогою оборотного шифрування. Це, по суті, те саме, що зберігати найпоширеніші версії паролів. Цю політику НІКОЛИ не слід увімкнути, якщо у вас немає дуже конкретних вимог до програми.
Змінити стандартну політику паролів домену
1. Увійдіть у свій контролер домену (або використовуйте Windows-клієнт із встановленим RSAT). Натисніть на Почніть і знайдіть у списку програм Інструменти адміністрування Windows;
2. Натисніть на Керування груповою політикою;
3. знайти Політика домену за умовчанням (ЛісДомени<Доменне ім'я>\Об’єкти групової політики);
Якщо вам потрібно змінити деякі параметри, що містяться в Типова політика домену GPO, для цього рекомендується створити новий GPO, прив’яжіть його до домену, і встановіть Примусово варіант.
TechNet: Зв’язування GPO
Не змінюйте політику домену за замовчуванням або політику контролера домену за замовчуванням без необхідності. Натомість, створіть новий GPO на рівні домену та встановіть для нього заміну параметрів за замовчуванням у політиках за замовчуванням.
TechNet: Створення оперативних вказівок групової політики
4. Права кнопка миші натисніть на Політика домену за умовчанням і виберіть Редагувати;
5. Йти до Політика паролів (Конфігурація комп’ютераПолітикиПараметри WindowsПараметри безпекиПолітика паролів) і налаштував параметри політики паролів відповідно до бажаної конфігурації;
6. Застосовувати історію паролів – скільки паролів запам’ятає система. Скільки унікальних паролів користувач повинен використовувати при кожному скиданні пароля;
7. Максимальний вік пароля – скільки буде жити пароль Після цього періоду користувача, буде запропоновано скинути пароль. (Ви можете встановити "0" для "необмежений” віковий час);
8. Мінімальний вік пароля – після закінчення цього періоду користувач може змінити пароль. (Ви можете встановити "0" для "необмежений” віковий час);
9. Мінімальна довжина пароля – якою довжиною будуть ваші паролі, але не менше цього значення;
10. Пароль повинен відповідати вимогам складності – ви можете встановити цей параметр, якщо вам потрібні дуже надійні паролі (маленький "a"і великий"А” листи, цифри "1та спеціальні символи!«);
11. Зберігайте паролі за допомогою оборотного шифрування – за замовчуванням не використовується в домені, лише якщо цього вимагає програма.
Ви також можете переглянути стандартну політику паролів за допомогою Windows Powershell:
Get-ADDefaultDomainPasswordPolicy
ПОРАДА: Переконайтеся, що ви повідомили всіх своїх користувачів, коли ви збираєтеся це зробити, оскільки це може змусити їх змінити свій пароль під час наступного входу.
ПРИМІТКА: Навіть якщо ви застосуєте політику паролів до підрозділу «Контролери домену», це не змінить політику паролів домену. Наскільки мені відомо, це єдиний виняток із правила щодо застосування GPO до об’єктів.