Sunday, July 22nd, 2018

Настройка параметров пароля в Windows Server 2008 – простой способ

Published on Февраль 4, 2009 by   ·   Комментариев нет

В серии статей ‘настройка параметров паролей Granular Password’ мы показывали, как настраивать параметры пароля для отдельных пользователей и глобальных групп безопасности в окружении Windows Server 2008 Active Directory, используя интегрированные методы. В этой статье мы продемонстрируем ‘простой способ’ того, как работать с дополнительными политиками этих паролей в вашем доменном окружении Windows Server 2008.

Различные подходы

Как и во многих других областях администрирования Windows, вам нужно иметь различные опции, когда дело касается работы с новыми политиками паролей, их параметрами и того, на кого они влияют. Интегрированные инструменты, такие как ADSIEdit, могут не всегда быть лучшим вариантом для неопытного персонала помощи, чрезмерно уставших администраторов или неуклюжих консультантов, таких как я. Нам нужны более удобные инструменты, желательно с понятным графическим интерфейсом (GUI), чтобы выполнять эту работу хорошо и безопасно! Кто-то, возможно, скажет, что нам нужны решения по работе со сценариями ‘ все сегодня говорят о PowerShell, не так ли? К счастью, некоторые отличные и бесплатные инструменты уже появились в наличии – еще до того, как Windows Server 2008 был выпущен – все эти инструменты обеспечивают нас командами PowerShell (CmdLets), а также отличным графическим интерфейсом GUI!

В этой статье основное внимание будет уделено бесплатной утилите от компании Special Operations Software под названием Specops Password Policy Basic — этот инструмент представляет собой ограниченную версию Specops Password Policy. Конечно есть и другие решения, и некоторые из них будут упомянуты в конце этой статьи.

Specops Password Policy Basic

Первое, что вам нужно, это скачать данный инструмент с веб сайта Specops — вам нужно будет зарегистрироваться на веб сайте, чтобы получить эту утилиту (весьма выгодная сделка на мой взгляд). Инструмент требует, чтобы Microsoft .NET Framework 2.0 и Microsoft Management Console (MMC) версия 3.0 были установлены на машину, на которую вы собираетесь установить эту утилиту. В моем случае я использовал Microsoft Windows Server 2008 (RC1 beta версию).

Во время установки вы можете выбрать установку оснасток Specops Password Policy Basic MMC и/или Windows PowerShell CmdLets ‘ по умолчанию устанавливаются оба компонента (что отлично подходит для большинства ситуаций). После установки вам будет доступна новая оснастка MMC, как показано на рисунке 1.

Простой пароль на сервере 2003

Рисунок 1: Обзор оснастки MMC

Как вы видите, оснастка способна связываться с несколькими доменами, в моем случае я подключен к домену windowsecurity.com.

При нажатии на вкладке домена в левой панели у нас появляется отличный обзор политик паролей, имеющихся на данный момент в домене. Сюда входит порядок приоритетов, имена политик паролей, пять главных параметров (минимальная длина, требования сложности, минимальный срок, максимальный срок и параметры истории) и краткий обзор членов политики (пользователей или глобальных групп безопасности).

Кроме этого у нас есть опции создания ‘Новой политики пароля’, ‘Редактирование выбранной политики пароля’, ‘Удаление выбранной политики пароля’, ‘Поиск политики пароля для пользователя’ и ‘Поиск пользователей подверженных влиянию выбранной политики пароля’, как показано на рисунке 2.

Нет доступа в политику паролей

Рисунок 2: Политики паролей, представленные в домене и их опции

В моем случае я выбрал политику паролей для сотрудников отдела помощи (‘Helpdesk Employees’), в таблице ‘Члены выбранной политики паролей’ отображены соответствующие пользователи и/или группы безопасности. Используя стрелки вверх/вниз, мы очень легко можем устанавливать порядок следования политик паролей. Обратите внимание на то, что вы можете получить краткий обзор политик паролей для домена по умолчанию (Default Domain) (обычно определяются в объекте Default Domain Policy GPO), как было рекомендовано ранее, это должна быть очень жесткая политика, чтобы удостовериться в том, что все пользователи расположены в соответствующих группах безопасности, если нет, то они «пострадают» от очень жесткой политики по умолчанию.

При выборе опции ‘Новая политика паролей’ или ‘Редактирование выбранной политики паролей’ у вас появится интуитивно понятное диалоговое окно (рисунок 3) ‘ более удобное, чем окно мастера ADSIEdit, которое я демонстрировал вам в своих предыдущих статьях по этой теме.

Specops password policy скачать

Рисунок 3: Диалоговое окно политики паролей

Здесь мы устанавливаем параметры политики паролей, включая параметры блокировки учетных записей. Мы легко можем добавлять и/или удалять членов политики (пользователей или групп безопасности) из этого конкретного диалогового окна. Это отличный способ отображения параметров политики паролей ‘ быстрый и простой, практически исключающий ошибки и назойливый набор текста и опечатки. Использование такого интерфейса определенно сэкономит ваше время и усилия по сравнению с утилитой ADSIEdit ‘ на самом деле вам даже не нужно думать, просто следуйте разработке и применяйте согласованные параметры политики паролей!

Кому что достанется?

Одним из наиболее сложных моментов при работе с политикой паролей в Windows Server 2008 является определение того, какие параметры политики достанутся тому или иному пользователю ‘ и наоборот. В компании Specops подумали и об этом и включили две отличные опции: ‘Просмотр политики паролей пользователя’ (рисунок 4) и ‘Просмотр пользователей, на которых влияет выбранная политика’ (рисунок 5).

Password policy Windows 2008

Рисунок 4: Быстрый просмотр пользователей

Мне очень просто выполнить запрос, чтобы посмотреть, какие параметры политики применимы к определенным пользователям. В другом случае, когда я хочу посмотреть, какие пользователи затронуты определенной политикой пароле, я выбираю опцию ‘Просмотр пользователей, на которых распространяется выбранная политика’ – результаты показаны на рисунке ниже.

Windows 2003 пароли простые

Рисунок 5: Быстрый просмотр политики

Итак, мы рассмотрели функциональные возможности пользовательского графического интерфейса утилиты Specops Password Policy Basic ‘ все очень здорово по сравнению с интегрированными инструментами (или отсутствием таковых). Однако утилита Specops включает больше функций ‘ и все это бесплатно!

PowerShell CmdLets

Specops Password Basic содержит небольшой набор команд PowerShell. В таблице 1 приведен краткий обзор включенных бесплатно команд:

Таблица 1:Краткий обзор PowerShell

Таблица 1
Название команды? Функции команды?
Get-BasicAffectedUsersForPasswordPolicy Используется для поиска всех пользователей, затронутых определенной политикой паролей
Get-BasicAffectingPasswordPolicy Используется для поиска политики пароля, примененной для определенного пользователя
Get-BasicDomainPasswordPolicy Предоставляет единичную политику пароля (non-fine-grained), заданную политикой групп
Get-BasicPasswordPolicy Находит одну или более политик пароля
New-BasicPasswordPolicy Создает новую политику пароля в домене
Remove-BasicPasswordPolicy Удаляет политику пароля из домена

Прежде чем использовать команды PowerShell, нужно выполнить следующую команду (в оболочке PowerShell):

Add-PSSnapin SpecopsSoft.PasswordPolicyBasic

Чтобы получить список команд, введите следующую команду: Get-Command -Noun Basic*

Ad простой пароль

Рисунок 6: PowerShell

PowerShell – это отличный инструмент для многократного выполнения одних и тех же заданий, документирования того, что и как вы сделали, и т.д. Но если ни одна из утилит недостаточно хороша для вас, будь то GUI или PowerShell CmdLets, то в Specops включены еще некоторые дополнительные инструменты: например Application Programming Interface (API). Как инструменты администрирования Specops, так и CmdLets используют этот API интерфейс, и он также может быть использован разработчиками прочих компаний для автоматизации и интеграции задач администрирования в Specops Password Policy Basic.

Одним из примеров может быть создание сценария или приложения для поиска всех пользователей, на которых не распространяется ни одна политика паролей, за исключением политики учетных записей домена по умолчанию ‘ это очень полезно для безопасности, особенно если политика по умолчанию не слишком безопасна в этом окружении (какой ее и рекомендуют делать).

Дополнительные опции

Как уже упоминалось, Specops Password Policy Basic – это не единственный (бесплатный) способ выхода за пределы интегрированных инструментов. Другие производители создали дополнительные решения, и я хочу лишь вкратце упомянуть о двух из них. Оба этих решения оснащены одинаковыми основными функциями: создание, редактирование, удаление и связь политик паролей в домене.

Первый бесплатный инструмент создан Кристофером Андерсеном (TrueSec), Microsoft MVP в сервисах директории (Directory Services). Этот инструмент можно скачатьздесь в бета версии, он имеет основные функции, как показано на рисунке 7.

Изменение параметров пароля Windows server 2008

Рисунок 7: Консоль MMC Кристофера Андерсена

Второй бесплатный инструмент создан Дмитрием Сотниковым, он построен с использованием PowerGUI ‘ на основе некоторых других бесплатных AD CmdLets от компании Quest ‘ его можно скачать здесь.

Итак, по большому счету выбор инструментов остается за вами ‘ уверен, что мы увидим функционально более полные версии этих утилит, когда выйдет полная версия Microsoft Windows Server 2008!

Заключение

Понимание того, как работает политика паролей, и того, как, когда и зачем ее использовать, очень важно. Надеюсь, предыдущие статьи о ‘настройке параметров паролей в Windows Server 2008’ немного просветили вас в этом вопросе. Сама по себе конструкция политики паролей, возможно, является самой трудной и решающей частью настройки множественных политик паролей в одном домене Active Directory ‘ но процесс применения с помощью ADSIEdit может быть не самым лучшим решением по управлению от компании Microsoft, поэтому на помощь приходит Specops со своим бесплатным продуктом: Password Policy Basic. Мне кажется, что этот инструмент предоставляет нам все для управления множественными политиками паролей в домене Windows Server 2008, это отличный инструмент!


Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]