Mohammadreza Soleimani 377 روز پیش verl
بازدید 928 بدون دیدگاه

تنظیمات Password Policy در Group Policy

تنظیمات Password Policy در Group Policy، در این مقاله قصد داریم سیاست های حساب کاربری (Account Policy) و به طور متمرکز سیاست های رمز عبور (Password Policy) را در اکتیو دایرکتوری مورد بررسی قرار دهیم.

 

تنظیمات Password Policy در Group Policy

فهرست مطالب

  1. مقدمه
  2. تنظیمات Local Policy
  3. تنظیمات Group Policy
  4. قابلیت Custom Password Object

 

 

مقدمه

در حالت پیش فرض و در محیط خارج از اکتیو دایرکتوری و Domain کامپیوتر ها از سیاست های محلی (Local Policy) استفاده می نمایند. در محیطی که از اکتیو دایرکتوری استفاده نمی گردد و کامپیوتر ها به دامنه ای join نشده اند با استفاده از کنسول Local Security Policy و استفاده از گزینه Account Policies می توان تنظیمات امنیتی نظیر رمز عبور، الزامات پیچیدگی رمز عبور، تنظیمات قفل حساب کاربری (Account Lockout) را به حساب کاربری اعمال نمود. چنانچه سیستمی که در حالت Local قرار دارد به دامنه Join شود، در این شرایط سیاست های در سطح Domain با سیاست هایی که به صورت Local پیکربندی شده اند جایگزین خواهد شد.

 

تنظیمات Local Policy

همانطور که ذکر شد به صورت پیش فرض در سیستم عامل قبل از اینکه به دامنه Join شود یک Local Security Policy وجود دارد که سیاست های حساب کاربری (Account Policies) در آن قرار دارد. جهت دسترسی به کنسول Local Security Policy جهت تغییر در تنظیمات پیشفرض از دستور secpol.msc در ابزار RUN ویندوز می توان استفاده نمود. همانطور که مشاهده می نمایید در حالت پیش فرض تنظیمات امنیتی خاصی بر روی حساب کاربری در حالت Local وجود ندارد. به عنوان مثال الزامات پیچیدگی رمز عبور (Password must meet complexity requirements) در حالت غیر فعال قرار دارد.

کنسول Local Policy

 

باید در نظر داشت که در سطح سازمانی پیکربندی ها به صورت Local انجام نخواهد شد و نیاز به یک مدیریت متمرکز بر روی حساب های کاربری، دسترسی و تنظیمات آنها خواهیم داشت که این مدیریت متمرکز در Domain به راحتی انجام می گیرد.

 

تنظیمات Group Policy

جهت دسترسی به و اعمال سیاست های مورد نظر بر روی سیستم ها در Domain می بایست از Group policy استفاده نماییم. با استفاده از Group Policy تنظیمات مورد نظر یک بار پیکربندی و در سطح شبکه اعمال خواهد شد. به همین منظور از کنسول Server Manager گزینه Tools و از زیر منوی آن، Group Policy Management را انتخاب می نماییم. در پنجره Group Policy Management دامنه مورد نظر را انتخاب و بر روی Default Domain Policy کلیک راست و گزینه Edit را انتخاب می نماییم.

ویرایش GPO

 

 

در پنجره باز شده در قسمت Computer configuration ، گزینه Policies، سپس Windows Settings ، Security Settings ، و نهایتا Account Policies قرار دارد که گزینه هایی از جمله Password policy، Account Lockout Policy و Kerberos Policy در آن قرار دارد. در Password Policy پارامتر هایی مشابه تنظیمات Local Policy در حالت خارج از دامنه وجود دارد اما در Domain این تنظیمات متفاوت می باشند به عنوان مثال Password must meet complexity requirements در اینجا به صورت پیش فرض فعال می باشد.

سیاست رمز عبور

 

چنانچه اطلاعات بیشتر در مورد هر کدام از سیاست های موجود نیاز داریم کافی است تا بر روی Policy مورد نظر دوبار کلیک نموده و در پنجره باز شده تب Explain را انتخاب کنیم تا اطلاعات کاملی در مورد این سیاست در دسترس قرار گیرد. همچنین چنانچه قصد مشاهده تنظیمات مربوط به Password Policy در محیط PowerShell را داشته باشیم از دستور زیر استفاده خواهیم نمود.

دستور مشاهده Password Policy

 

در خصوص پسورد ها و مدیریت کاربران این قابلیت نیز وجود دارد که با استفاده از Delegation بر روی گروهی از کاربران یا حتی یک کاربر  خاص بتوان اختیاراتی در جهت مدیریت رمز های عبور به آن ها اعمال نمود.

 

قابلیت Custom Password Object

قابلیت Custom Password Object به ما کمک می کند تا به واسطه آن به یک کاربر خاص تنظیماتی مستثنی از تنظیمات Default Password Policy و Account Lockout Policy اعمال نماییم که این قابلیت بسیار کارآمدی است که از ویندوز سرور 2008 به بعد در دسترس قرار گرفته است. به منظور ایجاد استثنا در سیاست های رمز عبور و قفل حساب برای یک کاربر خاص می بایست از کنسول Server Manager گزینه Tools و سپس Active Directory Administrative Center را انتخاب نماییم. در پنجره Active Directory Administrative Center گزینه System-Password-Container در ایجاد استثنا در سیاست های رمز عبور مورد استفاده قرار می گیرد. به همین منظور در این قسمت از گزینه New و از زیر منوی آن Password Settings را انتخاب می کنیم. در پنجره باز شده در قسمت Name یک نام در نظر می گیریم و سپس Precedence را بر روی 1 قرار می دهیم. عدد 1 به عنوان بالاترین اولویت در نظر گرفته می شود تا بتواند بر سیاست ها و تنظیمات دیگر غلبه نماید. در اینجا سیاست مورد نظر خود را انتخاب و پارامتر مورد نظر را وارد می کنیم. در این سناریو در نظر داریم تا برای یک کاربر خاص حداقل طول رمز عبور 16 کاراکتر باشد. بنابراین گزینه Enforce minimum password length را با عدد 16 مقدار دهی و با استفاده از گزینه Add حساب کاربری مورد نظر را انتخاب می نماییم. در نظر داشته باشید با استفاده از Add می توان یک حساب کاربری خاص یا حتی یک گروه را نیز انتخاب نمود تا این تنظیمات استثنا به آن ها اعمال گردد.

سیاست های استثتا

 

با کلیک بر روی OK یک سیاست رمز عبور شخصی سازی شده به حساب کاربری مورد نظر اعمال می گردد. حال اگر قصد داشته باشیم با کاربر مورد نظر لاگین کنیم (چنانچه گزینه User Must change password at next logon روی کاربر فعال باشد) می بایست یک رمز عبور با حداقل طول 16 کارکتر وارد نماییم تا مورد قبول قرار گیرد و اگر طول کمتری در نظر گرفته شود با خطا مواجه خواهد گردید.

خطا

 

 

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Select the fields to be shown. Others will be hidden. Drag and drop to rearrange the order.
  • Image
  • SKU
  • Rating
  • Price
  • Stock
  • Availability
  • Add to cart
  • Description
  • Content
  • Weight
  • Dimensions
  • Additional information
Click outside to hide the comparison bar
Compare