قفل حساب کاربری در اکتیو دایرکتوری توسط Group policy
قفل حساب کاربری در اکتیو دایرکتوری توسط Group policy، در این مقاله قصد داریم قفل نمودن حساب کاربری توسط Group policy را مورد بررسی قرار دهیم. باید در نظر داشت که قفل حساب کاربری (Account Lockout) زیر مجموعه از مدیریت حساب کاربری می باشد می گردد که نوعی مکانیزم امنیتی محسوب می گردد.
قفل حساب کاربری در اکتیو دایرکتوری توسط Group policy
فهرست مطالب
قفل حساب کاربری (Account Lockout) چیست
قفل حساب کاری در واقع به تعداد مجاز خطا در ورود رمزعبور اشتباه برای Login نمودن به حساب کاربری در شبکه مبتنی بر Domain اشاره دارد. به صورت پیش فرض در ویندوز سرور 2016 هیچ سیاست و Policy در مورد قفل حساب کاربری وجود ندارد. این بدین معناست که کاربر هر تعداد اشتباه در وارد کردن رمزعبور داشته باشد محدودیتی به آن اعمال نخواهد شد که این یک سیاست امنیتی کارآمد محسوب نمی گردد. در Best Practice ها همواره پیشنهاد می شود تا قفل حساب کاربری (Account Lockout) برای Login نمودن کاربران در نظر گرفته شود.
پیاده سازی قفل حساب کاربری
جهت بهره گیری از قابلیت Account Lockout می بایست از Group policy سیاست مورد نظر را به کاربران شبکه اعمال نماییم. جهت ایجاد چنین سیاستی (Policy) در کنسول Server Manager بر روی منوی Tools کلیک و سپس گزینه Group Policy Management انتخاب گردد. در پنجره Group Policy Management بر روی Domain مورد نظر کلیک نموده، و بر روی Default Domain Policy راست کلیک کرده و Edit را انتخاب می کنیم تا بتوان تنظیمات مورد نظر را بر آن اعمال نمود.
جهت دسترسی به تنظیمات مورد نیاز برای قفل حساب کاربری در پنجره باز شده مسیر زیر را انتخاب می نماییم.
Computer Configuration – Policies – Windows Settings – Security settings – Account Policies
پس از وارد شدن به قسمت تنظیمات Account Lockout Policies مشاهده می نماییم که به صورت پیش فرض هیچ تلاش برای ورود نامعتبر مقدار عدد صفر را دارد بدین معنی که هیچ محدودیتی در تلاش های نا معتبر برای Login وجود ندارد.
جهت ویرایش تنظیمات پیش فرض بر روی Account Lockout Threshold کلیک می نماییم تا پنجره تنظیمات در دستر قرار گیرد. در قسمت Account will lock out after می توان آستانه تعداد تلاش های مجاز را مشخص نمود. برای مثال اگر این عدد را بر روی 3 قرار دهیم چنانچه کاربر سه بار تلاش ناموفق در وارد کردن رمزعبور داشته باشد حساب کاربری آن کاربر قفل خواهد گردید.
با کلیک بر روی OK یک پنجره نمایش ظاهر خواهد شد و نمایش می دهد چنانچه تنظیمات را روی 3 بار قرار داده باشیم چنانچه کاربر 4 بار رمز عبور را اشتباه وارد نماید حساب کاربری برای 30 دقیقه قفل و چنانچه کاربر بعد از 30 دقیقه مجدد رمز عبور را اشتباه وارد نماید مجدد 30 دقیقه دیگر حساب کاربری قفل خواهد گردید.
اکنون جهت اعمال تغییرات در Group policy در Command Prompt می بایست دستور زیر اجرا گردد.
جهت تست تنظیمات انجام شده می توان با رمز عبور اشتباه این فرایند را مورد ارزیابی قرار داده و از قفل شدن کاربر مورد نظر اطمینان حاصل نمود. برای مثال در این سناریو ما با وارد کردن چهار بار رمز عبور اشتباه با چنین خطایی رو برو خواهیم شد.
فعال و غیر فعال نمودن Account
چنانچه Admin قصد داشته باشد تا کاربر را از حالت Lock خارج نماید کافی است در کنسول Server manager بر روی Tools کلیک نموده و گزینه Active Directory Users and Computers را انتخاب می نماییم. اکنون بر روی OU مربوط به Users کلیک نموده و بر روی حساب کاربری مورد نظر کلیک راست و Properties را انتخاب می کنیم. در پنجره باز شده در روی تب account تیک گزینه Unlock account را زده و بر روی OK کلیک می نماییم.
همچنین این امکان وجود دارد تا Unlock نمودن کاربر را با استفاده از دستورات PowerShell نیز انجام دهیم به همین منظور Windows PowerShell را اجرا می نماییم و دستورات زیر را اجرا می کنیم.
گاهی اوقات کاربرانی با سازمان قطع همکاری می کنند، در این شرایط می توان به راحتی در کنسول Active Directory users and computers بر روی کاربر مورد نظر کلیک راست نموده و گزینه Delete را انتخاب نماییم. اما بیشتر Admin ها در چنین شرایطی حساب کاربری آن ها را به صورت موقت غیر فعال می نمایند و در صورت جایگزینی کاربر دیگر آن حساب کاربری را تغییر نام و مورد استفاده قرار خواهند داد چرا که تمامی سیاست ها ، محدودیت ها و دسترسی ها به کاربر اعمال شده و در صورت حذف آن برای اضافه نمودن مجدد کاربر می بایست تمام دسترسی ها و سیاست ها مجدد اعمال گردد که این روش بهینه نخواهد بود. این تغییرات را می توان از طریق کنسول Active Directory Users and Computers انجام داد اما در عین حال دستور PowerShell به صورت زیر در چنین سناریو هایی قابل اجرا خواهد بود. دستورات غیر فعال (Disable) و فعال (Enable) نمودن حساب کاربری به صورت زیر می باشد.
همچنین چنانچه قصد انجام Password Reset برای یک حساب کاربری را از طریق دستورات PowerShell داشته باشیم، دستورات مورد نظر به این صورت اجرا خواهند گردید.
نظرات کاربران