Polityki haseł w środowisku AD

Aby w środowisku AD ustawić politykę haseł która będzie obowiązywała dla wszystkich użytkowników należy uruchomić „Edytor zarządzania zasadami grupy” i poddać edycji zasadę „Default Domain Policy”. Przechodzimy do ustawień Konfiguracja komputera -> Zasady -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady konta -> Zasady haseł (Computer Configuration -> Windows Settings -> Security Settings -> Account Policies -> Password policy)

W ustawieniach polityki możemy ustalić minimalną ilość znaków, okres ważności hasła, wymusić historię tworzenia haseł czy włączyć złożoność hasła. Ustawienia zdefiniowane w tym miejscu będą obowiązywać wszystkich użytkowników całego AD. Polityka haseł jest specyficzna, nawet jeśli utworzysz nową politykę GPO z innymi ustawieniami haseł i zastosujesz go do konkretnego OU, grupy lub użytkowników wyłączając dziedziczenie polityk nadrzędnych, nie będzie ona miała zastosowania do użytkowników.
Co zrobić w przypadku gdy dla kont administracyjnych chcemy ustawić bardziej restrykcyjna politykę? Od AD w systemie Windows Serwer 2008R2 Microsoft umożliwił tworzenie różnych polityk haseł ale aby została ona zastosowana należy skorzystać z „Fine-Grained Password Policies”. Aby skorzystać z tego rozwiązania od systemu Windows Serwer 2012 należy uruchomić konsolę Centrum zarządzania Active Directory (Active Directory Administration Center (ADAC)) (dsac.msc) przejść do gałęzi System -> Password Settings Container kliknąć prawym przyciskiem i z menu wybrać New -> Password Settings

Określamy nazwę polityki oraz ustawiamy wymagania odnośnie haseł, blokowania konta itd.

Należy zwrócić uwagę na atrybut Precedence .Ten atrybut określa priorytet bieżącej zasady haseł. Jeśli obiekt będzie miał przypisane kilka zasad FGPP, zastosowana zostanie zasada o najniższej wartości w polu Precedence.
Uwaga:
– Jeśli użytkownik będzie miał przypisane dwie zasady o takiej samej wartości Precedence, zastosowana zostanie zasada z niższym GUID.
– jeśli użytkownik będzie miał przypisane kilka zasad, jedna z nich włączona za pośrednictwem grupy bezpieczeństwa AD, a druga przypisana bezpośrednio do konta użytkownika, wówczas obowiązywać będzie zasada przypisana bezpośrednio do konta.
Następnie w polu „Directly Applies To” przypisujemy politykę do grup lub użytkowników. Zalecane jest przypisywanie polityk do grup zabezpieczeń a nie bezpośrednio do kont użytkowników. Na koniec zapisujemy politykę i polityka zostanie zastosowana do odpowiednich grup czy użytkowników.

W konsoli zarządzania użytkownikami i komputerami możemy w edytorze atrybutów danego użytkownika sprawdzić jaką ma przypisaną politykę. Po wybraniu użytkownika i przejściu na zakładkę „Atribute Editr” musimy w filtrze włączyć opcję Constructed i potem wyszukujemy poarametru msDS-ResultantPSO

Przypisaną polityke możemy także uzyskać za pomoca polecenia

dsqet user 'CN=uzytkownik,OU=kontener,DC=domena,DC=local –effectivepso

Nową politykę możemy także utworzyć z Powershell-a. Aby utworzyć nową politykę wydajemy polecenie:

New-ADFineGrainedPasswordPolicy -Name "Admin PSO Policy" -Precedence 1 -ComplexityEnabled $true -Description "Polityka hasel dla Administratorow"-DisplayName "Admin PSO Policy" -LockoutDuration "0.1:00:00" -LockoutObservationWindow "0.00:30:00" -LockoutThreshold 6 -MaxPasswordAge "60.00:00:00" -MinPasswordAge "1.00:00:00" -MinPasswordLength 12 -PasswordHistoryCount 12 -ReversibleEncryptionEnabled $false

Po utworzeniu polityki należy przypisać do niej grupę lub użytkowników

Add-ADFineGrainedPasswordPolicySubject "Admin PSO Policy" -Subjects "Domain Admins"

Aby zmienić ustawienia polityki:

Set-ADFineGrainedPasswordPolicy "Admin PSO Policy" -PasswordHistoryCount:"20"

Aby wyświetlić wszystkie polityki w AD

Get-ADFineGrainedPasswordPolicy -Filter *

Aby wyświetlić polityke przypisaną do konkretnego użytkownika wydajemy polcenie

Get-ADUserResultantPasswordPolicy -Identity admin.piotr

Nazwa przypisanej polityki wypisana jest w polu „Name

Aby wyświetlic domyślną politykę haseł w AD wydajemy polecenie

Get-ADDefaultDomainPasswordPolicy