تنظیمات Password Policy در Group Policy
تنظیمات Password Policy در Group Policy، در این مقاله قصد داریم سیاست های حساب کاربری (Account Policy) و به طور متمرکز سیاست های رمز عبور (Password Policy) را در اکتیو دایرکتوری مورد بررسی قرار دهیم.
تنظیمات Password Policy در Group Policy
فهرست مطالب
مقدمه
در حالت پیش فرض و در محیط خارج از اکتیو دایرکتوری و Domain کامپیوتر ها از سیاست های محلی (Local Policy) استفاده می نمایند. در محیطی که از اکتیو دایرکتوری استفاده نمی گردد و کامپیوتر ها به دامنه ای join نشده اند با استفاده از کنسول Local Security Policy و استفاده از گزینه Account Policies می توان تنظیمات امنیتی نظیر رمز عبور، الزامات پیچیدگی رمز عبور، تنظیمات قفل حساب کاربری (Account Lockout) را به حساب کاربری اعمال نمود. چنانچه سیستمی که در حالت Local قرار دارد به دامنه Join شود، در این شرایط سیاست های در سطح Domain با سیاست هایی که به صورت Local پیکربندی شده اند جایگزین خواهد شد.
تنظیمات Local Policy
همانطور که ذکر شد به صورت پیش فرض در سیستم عامل قبل از اینکه به دامنه Join شود یک Local Security Policy وجود دارد که سیاست های حساب کاربری (Account Policies) در آن قرار دارد. جهت دسترسی به کنسول Local Security Policy جهت تغییر در تنظیمات پیشفرض از دستور secpol.msc در ابزار RUN ویندوز می توان استفاده نمود. همانطور که مشاهده می نمایید در حالت پیش فرض تنظیمات امنیتی خاصی بر روی حساب کاربری در حالت Local وجود ندارد. به عنوان مثال الزامات پیچیدگی رمز عبور (Password must meet complexity requirements) در حالت غیر فعال قرار دارد.
باید در نظر داشت که در سطح سازمانی پیکربندی ها به صورت Local انجام نخواهد شد و نیاز به یک مدیریت متمرکز بر روی حساب های کاربری، دسترسی و تنظیمات آنها خواهیم داشت که این مدیریت متمرکز در Domain به راحتی انجام می گیرد.
تنظیمات Group Policy
جهت دسترسی به و اعمال سیاست های مورد نظر بر روی سیستم ها در Domain می بایست از Group policy استفاده نماییم. با استفاده از Group Policy تنظیمات مورد نظر یک بار پیکربندی و در سطح شبکه اعمال خواهد شد. به همین منظور از کنسول Server Manager گزینه Tools و از زیر منوی آن، Group Policy Management را انتخاب می نماییم. در پنجره Group Policy Management دامنه مورد نظر را انتخاب و بر روی Default Domain Policy کلیک راست و گزینه Edit را انتخاب می نماییم.
در پنجره باز شده در قسمت Computer configuration ، گزینه Policies، سپس Windows Settings ، Security Settings ، و نهایتا Account Policies قرار دارد که گزینه هایی از جمله Password policy، Account Lockout Policy و Kerberos Policy در آن قرار دارد. در Password Policy پارامتر هایی مشابه تنظیمات Local Policy در حالت خارج از دامنه وجود دارد اما در Domain این تنظیمات متفاوت می باشند به عنوان مثال Password must meet complexity requirements در اینجا به صورت پیش فرض فعال می باشد.
چنانچه اطلاعات بیشتر در مورد هر کدام از سیاست های موجود نیاز داریم کافی است تا بر روی Policy مورد نظر دوبار کلیک نموده و در پنجره باز شده تب Explain را انتخاب کنیم تا اطلاعات کاملی در مورد این سیاست در دسترس قرار گیرد. همچنین چنانچه قصد مشاهده تنظیمات مربوط به Password Policy در محیط PowerShell را داشته باشیم از دستور زیر استفاده خواهیم نمود.
در خصوص پسورد ها و مدیریت کاربران این قابلیت نیز وجود دارد که با استفاده از Delegation بر روی گروهی از کاربران یا حتی یک کاربر خاص بتوان اختیاراتی در جهت مدیریت رمز های عبور به آن ها اعمال نمود.
قابلیت Custom Password Object
قابلیت Custom Password Object به ما کمک می کند تا به واسطه آن به یک کاربر خاص تنظیماتی مستثنی از تنظیمات Default Password Policy و Account Lockout Policy اعمال نماییم که این قابلیت بسیار کارآمدی است که از ویندوز سرور 2008 به بعد در دسترس قرار گرفته است. به منظور ایجاد استثنا در سیاست های رمز عبور و قفل حساب برای یک کاربر خاص می بایست از کنسول Server Manager گزینه Tools و سپس Active Directory Administrative Center را انتخاب نماییم. در پنجره Active Directory Administrative Center گزینه System-Password-Container در ایجاد استثنا در سیاست های رمز عبور مورد استفاده قرار می گیرد. به همین منظور در این قسمت از گزینه New و از زیر منوی آن Password Settings را انتخاب می کنیم. در پنجره باز شده در قسمت Name یک نام در نظر می گیریم و سپس Precedence را بر روی 1 قرار می دهیم. عدد 1 به عنوان بالاترین اولویت در نظر گرفته می شود تا بتواند بر سیاست ها و تنظیمات دیگر غلبه نماید. در اینجا سیاست مورد نظر خود را انتخاب و پارامتر مورد نظر را وارد می کنیم. در این سناریو در نظر داریم تا برای یک کاربر خاص حداقل طول رمز عبور 16 کاراکتر باشد. بنابراین گزینه Enforce minimum password length را با عدد 16 مقدار دهی و با استفاده از گزینه Add حساب کاربری مورد نظر را انتخاب می نماییم. در نظر داشته باشید با استفاده از Add می توان یک حساب کاربری خاص یا حتی یک گروه را نیز انتخاب نمود تا این تنظیمات استثنا به آن ها اعمال گردد.
با کلیک بر روی OK یک سیاست رمز عبور شخصی سازی شده به حساب کاربری مورد نظر اعمال می گردد. حال اگر قصد داشته باشیم با کاربر مورد نظر لاگین کنیم (چنانچه گزینه User Must change password at next logon روی کاربر فعال باشد) می بایست یک رمز عبور با حداقل طول 16 کارکتر وارد نماییم تا مورد قبول قرار گیرد و اگر طول کمتری در نظر گرفته شود با خطا مواجه خواهد گردید.
نظرات کاربران