Részletes jelszó házirendek Windows Server 2018, Windows pro
ARUBA INSTANT WI-FI: EGYSZERŰ, KIADHATÓ, ELÉRHETŐ
Shadow csoportok használata
Számos eszközzel létrehozhat árnyékcsoportokat, köztük a Windows PowerShell, az LDIFDE és a VBScript, de a legegyszerűbb módja a beépített AD-címtárszolgáltatási parancsok használata. A következő parancs végrehajtja a felhasználói objektumok lekérdezését a HR szervezeti egységben az ad.mycompany.com nevű domainben.
dsquery felhasználó ou = hr, dc = hirdetés, dc = cégem,
dc = com | dsmod csoport cn = hr_ou_users,
ou = csoportok, dc = ad, dc = saját vállalat,
dc = com -chmbr
Ez a parancs módosítja egy meglévő globális biztonsági csoport tagságát is, amely az OU-ban található nevű csoportokból áll, és amely a kezdeti felhasználói kérelem eredményeit tükrözi. A dsquery parancs az AD-re irányított LDAP-kérelmek futtatására használható. Ebben a példában a felhasználó meghatározza a keresendő objektum típusát; az eredmények a HR szervezeti egységében lévő tárgyakra korlátozódnak. A dsmod parancs megváltoztatja a meglévő AD objektumokat; A csoport meghatározza a módosítani kívánt objektum típusát, majd a pontos helyet az AD-ben. A -chmbr kapcsoló felváltja a csoport összes tagját.
Ezután egy részletes jelszó-politika alkalmazható az új árnyékcsoportra, és szükség esetén frissítheti a csoport tagságát a csapat végrehajtásának ütemezésével. Lényegében ez a megoldás egy részletes jelszó-politikát alkalmaz az OU-ban található felhasználói objektumokra, még akkor is, ha technikailag a házirendet alkalmazzák a csoportra.
Csak a tartományi rendszergazdák hozhatják létre vagy módosíthatják a Jelszóbeállítások (PSO) objektumokat, és társíthatók a standard AD biztonsági beállításokkal rendelkező csoportokhoz. Annak érdekében, hogy a támogató személyzet megváltoztassa egy adott felhasználóra érvényes jelszó-házirendet, javasoljuk, hogy kapcsolja össze a PSO objektumokat a csoportokkal, és engedélyezze a rendszergazdáknak és a mérnököknek a csoportok közötti áthelyezést. Ha sikeres küldési modellt épít fel a vállalat számára, akkor a támogatási szakemberek megváltoztathatják a felhasználónak rendelt irányelvet, anélkül, hogy közvetlenül módosítanák az AD-t.
A felhasználói objektumra vonatkozó részletes jelszószabályok meghatározása
A részletes jelszó-házirendekkel kapcsolatos problémák diagnosztizálásakor néha meg kell tudni, melyik PSO-objektum kerül felhasználásra a felhasználói fiókhoz. Ehhez nem mindig könnyű, mert van egy prioritási rendszer, amikor több PSO objektumot csoportokra és / vagy közvetlenül egy felhasználói objektumra alkalmaz.
Ahhoz, hogy megkapja a felhasználói fiók msDS-ResultantPSO attribútumát, írja be a dsget parancsot, és adja meg a felhasználói objektum megkülönböztetett nevét (DN):
dsget user "cn = adminisztrátor, cn = felhasználók,
dc = ad, dc = com »-efektívpso
A parancs eredményeként egy PSO-objektumot alkalmaznak a rendszergazdai fiókra (ha van ilyen) a következő formátumban, ahol a passpol_Admins a hatékony PSO neve:
effectivepso "CN = passpol_Admins, CN = Jelszó
Beállítások Konténer, CN = Rendszer, DC = hirdetés, DC = Saját vállalat, DC = com "
dsget sikerült
Ha kiválasztja a Speciális funkciók a Nézet menü a beépülő modul Active Directory felhasználók és számítógépek konzol Microsoft Management Console (MMC), akkor is megtudja az érték a msDS-ResultantPSO tulajdonítják, hogy megtalálja a felhasználó objektumot a GUI. Kattintson a jobb gombbal a felhasználónévre, válassza a Tulajdonságok parancsot, majd kattintson az Attribútum-szerkesztő fülre. Megtekintheti a tulajdonság msDS-ResultantPSO kattintson a Szűrő a attribútumszerkesztő fülre, majd adja hozzá megépült megjelenítése csak olvasható attribútumokkal. Ez a módszer a legalkalmasabb a kezdő alkalmazottak számára.
Hozzon létre PSO-kat a PowerShell segítségével
A Microsoft nem nyújt grafikus felületet a PSO objektumok létrehozásához. PSO objektumokat adhat hozzá az AD-hez nem csak szabványos eszközökkel, mint például az ADSI Edit vagy az ldp.exe. A Quest Software egy szabad sor PowerShell parancsot tartalmaz az Active Directory menedzsment shell-jának részeként az Active Directory számára, amelyet adminisztrálhat az AD adminisztrálásához. A készlet több parancsot tartalmaz a PSO objektumok kezelésére. Ezek a parancsok is hasznosak lehetnek a PSO létrehozásának folyamatának automatizálásához. A parancsok betöltése és telepítése előtt telepítenie kell a PowerShell és a .NET-keretrendszereket.
Jelentkezzen be a tartományi rendszergazdaként és indítsa el a PowerShell alkalmazást a Start menüből.
A PowerShell új parancsainak kezeléséhez indítsa el a parancsot
add-pssnapin quest.activeroles.
admanagement
A tartományi rendszergazdák számára új PSO-objektum létrehozásához írja be
adminok
elsőbbség 10-passwordhistoryhength 5
passwordcomplexityenabled $ true
minimális kulcsszó 6
Ha a házirendet a Domain Adminisztrátorok csoportra szeretné alkalmazni, írja be
add-qadpasswordsettingsobjectappliesto
admins -appliesto 'addomain admins'
Győződjön meg róla, hogy a PSO-adminisztrátorok objektum társítva van a Domain Adminisztrátorok csoporttal, és minden egyéb attribútum helyesen van beállítva:
amint az a képernyőn 1 látható.
get-qaduser adminisztrátor -includedproperties
msds-resultantpso | formátum-lista nevét,
SDB resultantpso
Írja be a következő parancsot az adminisztratív közszolgáltatási kötelezettség eltávolításához:
Mielőtt törölné a PSO-t, a rendszer megerősítést kér.
PSO-k létrehozása Specops-kal
Jelentkezzen be tartományi rendszergazdaként és futtassa a Jelszószabályzatot a Start menüből.
A Kapcsolt domainek szakaszban győződjön meg róla, hogy a tartomány szerepel. Ebben az esetben a kapcsolódó domain az ad.com. Kattintson a Configure selected domain gombra.
Az alapértelmezett tartományi jelszó házirend megjelenik a megfelelő MMC ablaktáblában. Kattintson az Új jelszó-irányelv új PSO létrehozására. Adja meg a szabályzatot a rendszergazdáknak.
Állítsa be a PSO szükséges beállításait a Jelszó-házirend-beállítások és a Számlatárolási beállítások szakaszban, amint azt a 3. képernyő mutatja.
Kattintson a Jelszó hozzáadása párbeszédpanel jobb alsó részén található Add member elemre, adja hozzá a Domain Admins csoportot a AD vagy a Felhasználók kiválasztása ablakhoz, majd kattintson az OK gombra.
A 4. ábra bemutatja az Adminisztrátorok új házirendjét, amely a Domain Admins csoport tagjai számára elsőbbséget élvez. Ha egynél több PSO-t szeretne konfigurálni, akkor az MMC jobb oldalán található nyilakkal módosíthatja a prioritást; a legmagasabb a PSO tetején.
Kattintson a Felhasználó keresése jelszóra vonatkozó szabályzatára, és írja be a szó adminisztrátort a Felhasználók kiválasztása párbeszédpanelen. Meg kell jelennie egy üzenet, amely szerint a Rendszergazdák házirendje aktív a Rendszergazda fiókban.
Russell Smith ([email protected]) független informatikai tanácsadó szakosodott a rendszerek menedzselésében
Ossza meg az anyagot kollégákkal és barátokkal