Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2

Обновлено 13.08.2019

Доброго времени суток! Уважаемые читатели и постоянные подписчики, IT блога Pyatilistnik.org. О том, что такое PSO мы уже разобрались в первой части статьи. Теперь давайте теперь настроим все это дело. Я покажу поэтапную настройку на примере операционной системы Windows Server 2008 R2, в Windows Server 2012 R2 и 2016, все уже реализуется, через оснастку "Центр администрирования Active Directory". Надеюсь, что вы оценили функционал данной технологии и уже знаете, где его применить.

Открываем ADSIEdit.

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-00

Выбираем Контекст подключения по умолчанию. System -> Password Settings Container и через контекстное меню запустить мастер создания нового объекта.

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-01

Создать объект.

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-02

Прежде всего, в отобразившемся диалоговом окне создания объекта следует выбрать класс создаваемого объекта. Тут все очень просто. Так как для выбора предоставляется всего лишь один класс «msDS-PasswordSettings», выберите именно его и нажмите на кнопку «Далее»;

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-03

Первый вопрос мастера - имя нового PSO. Можно указать любое, но лучше что-то описательное

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-04

• На очередной странице мастера нужно указать значение для атрибута «msDS-PasswordSettingsPrecedence». Данный атрибут определяет приоритет параметров паролей, который используется в том случае, если для выбранных вами пользователей указываются несколько объектов PSO.В функциональных возможностях групповой политики есть такое понятие, как приоритеты. В случае с объектами параметров паролей тут можно провести некую аналогию.

Несмотря на то, что объект PSO привязывается к нескольким группам или пользователям, то, соответственно, с определенным пользователем в какой-то момент могут быть связаны несколько объектов PSO. В этом нет ничего странного. Вот смотрите: параметры политики паролей к любому пользователю могут применяться лишь один раз и такой объект PSO, который будет применяться к определенному пользователю или, соответственно, группе пользователей, называется результирующим.

И получается, чтобы определить, какой объект является результирующим, нужно устанавливать значение текущего атрибута для каждого объекта PSO. Чтобы определить приоритет, значение данного атрибута должно быть больше нуля, причем, наивысшим приоритетом будет значение 1. Ну и, получается, если к пользователю могут применяться несколько объектов параметров политики гранулированных политик паролей, превалировать будет объект с максимальным значением. Если же возникнет такая ситуация, когда значения приоритетов будет одинаковыми, в том случае, будет выбираться тот объект, глобальный идентификатор GUID которого будет минимальным. Следовательно, устанавливается приоритет, например «1», а затем для перехода на следующую страницу мастера, нужно нажать на кнопку«Далее»;

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-05

• Следующий атрибут, который вам предложит указать мастер, называется msDS-PasswordReversibleEncriptionEnabled. Этот атрибут отвечает за обратимое шифрование. Как вы знаете, используя обратимое шифрование, уровень безопасности паролей и всего домена в частности значительно понижается. Так как использование этой функции аналогично хранению пароля в открытом виде, будьте осторожны и используйте этот параметр только в случаях крайней необходимости, например, если этого требуют какие-то приложения. Соответственно, значениями данного параметра могут быть True и False. Так как в инфраструктуре данной фиктивной компании нет таких приложений, и корпоративная политика безопасности строго запрещает выполнять такие действия, в текущем примере указывается значение False

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-07

• Теперь на очередной странице мастера вам предоставляется возможность определить значение атрибута msDS-PasswordHistoryLength, отвечающего за ведение журнала паролей и, соответственно, за количество паролей этого журнала. Значение может варьироваться от нуля до 1024. Например, установим значение 30 и перейдем к следующей странице мастера. Данная страница мастера отображена ниже:

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-08

• Атрибут msDS-PasswordCoomplexityEnabled, значение которого можно указать на следующей странице мастера, определяет состояние сложности пароля. То есть, указав значение True, вы выберите то же значение, если бы вы указали значение «Включить» для параметра политики «Пароль должен отвечать требованиям сложности». Поэтому, обязательно устанавливайте значение для данного атрибута True;

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-09

• Очередной атрибут данного объекта, а именно атрибут msDS-MinimumPasswordLength, отвечает за минимальную длину пользовательского пароля. В данном случае, вы можете указать значение от 0 до 255 знаков. Допустим, что у юристов пароль должен составлять не менее 10 знаков, поэтому следует установить значение равным 10 и можно переходить к следующему атрибуту;

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-10

• При помощи следующего атрибута — атрибута msDS-MinimumPasswordAge, вы указываете срок действия пароля, в течение которого ваши пользователи могут использовать и, соответственно, не могут изменять пароль. Значение должно указываться в формате, который видно на следующей иллюстрации. Установим 1 день для этого атрибута. Соответственно, следует указать 01:00:00:00. Обратите внимание на правильность ввода атрибутов типа Duration (в формате DD:HH:MM:SS, т.е. дни, часы, минуты и секунды).

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-11

• А вот атрибут msDS-MaximumPasswordAge определяет максимальный срок действия пароля до его изменения. Например, можно указать значение, равное 45 дням, то есть 45:00:00:00

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-12

• Следующий атрибут, а именно, атрибут msDS-LockoutThreshold определяет пороговое значение включения блокировки пользователя. То есть, здесь указывается количество попыток ввода пароля до блокировки последней. Например, нормально будет, если указать для этого атрибута значение, скажем, 5 и можно переходить к следующему атрибуту

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-13

• Атрибут msDS-LockoutObservationWindowsпозволяет вам указать промежуток времени перед сбросом порогового значения блокировки согласно указанному на предыдущей странице мастера количеству неправильно введенных паролей. Можно указывать значение от одной секунды. Например, если нужно установить значение, равное 1 час, следует указать 0:01:00:00:

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-14

• Очередной атрибут, который называется msDS-LockoutDuration, определяет, как долго будет заблокирована учетная запись до автоматического снятия блокировки. Допустим, установим значение в 1 час, то есть, 0:01:00:00

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-15

Готово

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-16

Также допустимыми параметрами для атрибутов, содержащих время, являются значения (never) и (none).

Важно!

Теперь мы видим нашу только что созданную политику, давайте ее прилинкуем.

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-17

Как видите все атрибуты теперь тут легко поправить

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-18

Сделаем отображать атрибуты доступные для записи.

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-19

нужно найти атрибутmsDS-PSOAppliesTo и добавить в него пользователя или глобальные группы, на которые будет распространяться политика PSO.

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-20

Добавить учетную запись Windows

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-21

Производим поиск по вашему каталогу.

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-22

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-23

Также нашу политику можно увидеть в Active Directory Пользователи и компьютеры

Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2008R2-24

Все тоже в видео версии

Разрешение конфликтов нескольких PSO

Какие парольные политики будут действовать на пользователя, если в домене описана своя политика, для пользователя создан собственный PSO, а к группе, в которую входит пользователь, привязан еще один PSO?

Прежде всего, напомню, что политика из PSO применяется целиком, т.е. невозможно длину пароля описать в доменной политике, а настройки блокировки учетной записи описать в политике PSO.

Далее рассмотрим возможные конфликты.

1. Правило №1. При наличии PSO политика из PSO имеет больший приоритет, чем доменная политика.
2. Правило №2. При наличии PSO, назначенного непосредственно пользователю, полностью игнорируются политики PSO, назначенные глобальным группам, в которые пользователь может входить.
3. Правило №3. При наличии нескольких PSO, назначенных одной и той же группе или пользователю, действует политика из PSO с более высоким приоритетом (т.е. PSO, у которого значение атрибута msDS-PasswordSettingsPrecedence меньше). Важно: не забывайте правило №2.
4. Правило №4. При наличии нескольких PSO с одинаковым приоритетом и назначенных одной и той же группе или пользователю применяется политика из PSO с более низким значением GUID.

ВАЖНО! В итоге к пользователю всегда применяется политика только одного PSO.

Узнать, какой же в итоге PSO реально применяется можно через консоль Active Directory Users and Computers (не забудьте включить режим View -> Advanced Features).

В свойствах пользователя нужно открыть вкладку Attribute Editor и найти атрибутmsDS-ResultantPSO. В нем указано имя PSO, который в итоге и применяется к данному пользователю. Если выяснится, что к пользователю не подходит ни один из объектов PSO, то применяется обычная политика паролей по умолчанию, которая берется из свойств объекта Домен. С вами был Иван Семин, автор и создатель портала Pyatilistnik.org.