Mohammadreza Soleimani 384 روز پیش verl
بازدید 766 بدون دیدگاه

قفل حساب کاربری در اکتیو دایرکتوری توسط Group policy

قفل حساب کاربری در اکتیو دایرکتوری توسط Group policy، در این مقاله قصد داریم قفل نمودن حساب کاربری توسط Group policy را مورد بررسی قرار دهیم. باید در نظر داشت که قفل حساب کاربری (Account Lockout) زیر مجموعه از مدیریت حساب کاربری می باشد می گردد که نوعی مکانیزم امنیتی محسوب می گردد.

 

قفل حساب کاربری در اکتیو دایرکتوری توسط Group policy

فهرست مطالب

  1. Account Lockout چیست
  2. پیاده سازی
  3. فعال و غیر فعال نمودن Account

 

 

قفل حساب کاربری (Account Lockout) چیست

قفل حساب کاری در واقع به تعداد مجاز خطا در ورود رمزعبور اشتباه برای Login نمودن به حساب کاربری در شبکه مبتنی بر Domain اشاره دارد. به صورت پیش فرض در ویندوز سرور 2016 هیچ سیاست و Policy در مورد قفل حساب کاربری وجود ندارد. این بدین معناست که کاربر هر تعداد اشتباه در وارد کردن رمزعبور داشته باشد محدودیتی به آن اعمال نخواهد شد که این یک سیاست امنیتی کارآمد محسوب نمی گردد. در Best Practice ها همواره پیشنهاد می شود تا قفل حساب کاربری (Account Lockout) برای Login نمودن کاربران در نظر گرفته شود.

 

پیاده سازی قفل حساب کاربری

جهت بهره گیری از قابلیت Account Lockout می بایست از Group policy سیاست مورد نظر را به کاربران شبکه اعمال نماییم. جهت ایجاد چنین سیاستی (Policy) در کنسول Server Manager بر روی منوی  Tools کلیک و سپس گزینه Group Policy Management انتخاب گردد. در پنجره Group Policy Management بر روی Domain مورد نظر کلیک نموده، و بر روی Default Domain Policy راست کلیک کرده و Edit را انتخاب می کنیم تا بتوان تنظیمات مورد نظر را بر آن اعمال نمود.

کنسول Group policy

 

جهت دسترسی به تنظیمات مورد نیاز برای قفل حساب کاربری در پنجره باز شده مسیر زیر را انتخاب می نماییم.

Computer Configuration – Policies – Windows Settings – Security settings – Account Policies

گزینه Account policies

 

پس از وارد شدن به قسمت تنظیمات Account Lockout Policies مشاهده می نماییم که به صورت پیش فرض هیچ  تلاش برای ورود نامعتبر مقدار عدد صفر را دارد بدین معنی که هیچ محدودیتی در تلاش های نا معتبر برای Login وجود ندارد.

تنظیمات پیش فرض

 

جهت ویرایش تنظیمات پیش فرض بر روی Account Lockout Threshold کلیک می نماییم تا پنجره تنظیمات در دستر قرار گیرد. در قسمت Account will lock out after می توان آستانه تعداد تلاش های مجاز را مشخص نمود. برای مثال اگر این عدد را بر روی 3 قرار دهیم چنانچه کاربر سه بار تلاش ناموفق در وارد کردن رمزعبور داشته باشد حساب کاربری  آن کاربر قفل خواهد گردید.

تنظیمات آستانه

 

با کلیک بر روی OK یک پنجره نمایش ظاهر خواهد شد و نمایش می دهد چنانچه تنظیمات را روی 3 بار قرار داده باشیم چنانچه کاربر 4 بار رمز عبور را اشتباه وارد نماید حساب کاربری برای 30 دقیقه قفل و چنانچه کاربر بعد از 30 دقیقه مجدد رمز عبور را اشتباه وارد نماید مجدد 30 دقیقه دیگر حساب کاربری قفل خواهد گردید.

پنجره Suggested Value

 

اکنون جهت اعمال تغییرات در Group policy در Command Prompt می بایست دستور زیر اجرا گردد.

دستور gpupdate

 

جهت تست تنظیمات انجام شده می توان با رمز عبور اشتباه این فرایند را مورد ارزیابی قرار داده و از قفل شدن کاربر مورد نظر اطمینان حاصل نمود. برای مثال در این سناریو ما با وارد کردن چهار بار رمز عبور اشتباه با چنین خطایی رو برو خواهیم شد.

خطای login

 

فعال و غیر فعال نمودن Account

چنانچه Admin قصد داشته باشد تا کاربر را از حالت Lock خارج نماید کافی است در کنسول Server manager بر روی Tools کلیک نموده و گزینه Active Directory Users and Computers را انتخاب می نماییم. اکنون بر روی OU مربوط به Users کلیک نموده و بر روی حساب کاربری مورد نظر کلیک راست و Properties را انتخاب می کنیم. در پنجره باز شده در روی تب account تیک گزینه Unlock account را زده و بر روی OK کلیک می نماییم.

unlock حساب کاربری

 

 

همچنین این امکان وجود دارد تا Unlock نمودن کاربر را با استفاده از دستورات PowerShell نیز انجام دهیم به همین منظور Windows PowerShell را اجرا می نماییم و دستورات زیر را اجرا می کنیم.

دستور unlock

 

گاهی اوقات کاربرانی با سازمان قطع همکاری می کنند، در این شرایط می توان به راحتی در کنسول Active Directory users and computers بر روی کاربر مورد نظر کلیک راست نموده و گزینه Delete را انتخاب نماییم. اما بیشتر Admin ها در چنین شرایطی حساب کاربری آن ها را به صورت موقت غیر فعال می نمایند و در صورت جایگزینی کاربر دیگر آن حساب کاربری را تغییر نام و مورد استفاده قرار خواهند داد چرا که تمامی سیاست ها ، محدودیت ها و دسترسی ها به کاربر اعمال شده و در صورت حذف آن برای اضافه نمودن مجدد کاربر می بایست تمام دسترسی ها و سیاست ها مجدد اعمال گردد که این روش بهینه نخواهد بود. این تغییرات را می توان از طریق کنسول Active Directory Users and Computers انجام داد اما در عین حال دستور PowerShell به صورت زیر در چنین سناریو هایی قابل اجرا خواهد بود. دستورات غیر فعال (Disable)  و فعال (Enable) نمودن حساب کاربری به صورت زیر می باشد.

دستور های تنظیماتی حساب کاربری

 

همچنین چنانچه قصد انجام Password Reset برای یک حساب کاربری را از طریق دستورات PowerShell داشته باشیم، دستورات مورد نظر به این صورت اجرا خواهند گردید.

دستور reset Password

 

 

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Select the fields to be shown. Others will be hidden. Drag and drop to rearrange the order.
  • Image
  • SKU
  • Rating
  • Price
  • Stock
  • Availability
  • Add to cart
  • Description
  • Content
  • Weight
  • Dimensions
  • Additional information
Click outside to hide the comparison bar
Compare