Как измененить политики паролей для сервера в Windows Server 2008 R2
Как измененить политики паролей для сервера в Windows Server 2008 R2
Здесь будет рассказано как изменить политику паролей в Windows Server. По умолчанию все пароли в Windows должны отвечать политике безопасности, а именно:
- Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков.
- Иметь длину не менее 6 знаков.
- Содержать знаки трех из четырех перечисленных ниже категорий:
- Латинские заглавные буквы (от A до Z)
- Латинские строчные буквы (от a до z)
- Цифры (от 0 до 9)
- Отличающиеся от букв и цифр знаки (например, !, $, #, %)
Чтобы изменить политику паролей надо зайти в «Пуск» — «Администрирование» — «Локальная политика безопасности»
Как измененить политики паролей для сервера в Windows Server 2008 R2-01
В открывшейся оснастке раскрываем ветку «Политика учетных записей» и «Политику паролей». Здесь мы можем изменять несколько параметров, в частности отключить политику «Пароль должен отвечать требованиям сложности» или gpedit.msc
Как измененить политики паролей для сервера в Windows Server 2008 R2-02
Можно так же этот параметр задать и через групповые политики, идем в оснастку gpmc.msc. Конфигурация компьютера-Конфигурация Windows-Параметры безопасности-Политики учетных записей-Политики паролей
Как измененить политики паролей для сервера в Windows Server 2008 R2-03
Настройка множественных политик паролей в домене AD (Fine-Grained Password Policies)
В версии Active Directory, представленной в Windows Server 2000 можно было создать только одну политику паролей на весь домен. Данная политика настраивалась в рамках стандартной политики Default Domain Policy. В том случае, если администратор назначает новую GPO с иными настройками паролей на OU, клиентские CSE (Client Side Extensions), игнорировали такие политики. Естественно, такой подход не всегда удобен, и чтобы обойти такое ограничение, администраторам приходилось идти на различные ухищрения (дочерние домены и леса, фильтры и т.д.), что создавало дополнительные трудности.
В этой статье мы покажем особенности настройки и управления гранулированных политик управления паролями на базе Windows Server 2012 R2.
Политики управления паролями Fine-Grained Password Policies
В Windows Server 2008, разработчики добавили новый отдельную от GPO возможность управления настройками паролей Fine-Grained Password Policies (FGPP – гранулированные / раздельные политики обеспечения парольной защиты). Fine-Grained Password Policies позволяют администратору создать в одном домене множество специальных политик управления паролями ( Password Settings Policy — PSO), определяющих требования к паролям (длина, сложность, история) и блокировки учетных записей. Политики PSO могут быть назначены на конкретных пользователей или группы, но не на контейнеры (OU) Active Directory. Причем, если к пользователю привязана политика PSO, настройки парольной политики из GPO Default Domain Policy к нему более не применяются.
К примеру, с помощью FGPP, можно наложить более высокие требования на длину и сложность пароля для учетных записей администраторов, сервисных учетных записей или пользователей, имеющих внешний доступ к ресурсам домена (через VPN или DirectAccess ).
Основные требования для использования множественных политик паролей FGPP в домене:
- функциональный уровень домена Windows Server 2008 или выше
- парольные политики можно назначить на пользователей или глобальные группы безопасности (global security)
- FGPP политика применяется целиком (нельзя часть настроек описать в GPO, а часть в FGPP)
Главный недостаток новшества в Windows Server 2008– отсутствие удобных инструментов управления политиками паролей, настройку которых можно было выполнить только из низкоуровневых утилит по работе с AD, например ADSIEdit, ldp.exe, LDIFDE.exe.
Настройка Fine-Grained Password Policies в Windows Server 2012 R2
В Windows Server 2012 в консоли ADAC (Active Directory Administration Center) появился новый графический интерфейс для управления парольными политиками Fine-Grained Password Policies. В данном примере мы покажи, как назначить отдельную парольную политику на доменную группу Domain Admins.
Итак, на контроллере домена с правами администратора запустите консоль Active Directory Administrative Center (ADAC), переключитесь в древовидный вид и разверните контейнер System . Найдите контейнер Password Settings Container , щелкните по нему ПКМ и выберите New -> Password Settings
В открывшемся окне нужно указать имя политики паролей (в нашем примере Password Policy for Domain Admin) и задать ее настройки. Все поля стандартные: минимальная длина и сложность пароля, количество хранимых паролей в истории, параметры блокировки при неправильном введении пароля и т.д. Обратите внимание на атрибут Precedence. Данный атрибут определяет приоритет данной политики паролей. Если на объект действую несколько политик FGPP, к объекту будет применена политика с меньшим значением в поле Precedence.
- Если на пользователя действуют две политики с одинаковыми значениями Precedence, будет применена политика с меньшим GUID.
- Если на пользователя назначены несколько политик, причем одна из них действет через группу безопасности AD, а вторая – напрямую на учетную запись, то будет применена политика, назначенная на учетку.
Затем в секции Direct Applies To нужно добавить группы/пользователей, на которых должна действовать политика (в этом примере Domain Admin). Сохраните политику.
С этого момента данная парольная политика будет применяться на всех членов группы Domain Admin. Запустим консоль Active Directory Users and Computers (с установленной опцией Advanced Features) и откроем свойства любого пользователя из группы Domain Admin. Перейдите на вкладку Attribute Editor и в поле Filter выберите опцию Constructed .
Найдите атрибут пользователя msDS-ResultantPSO . В этом атрибуте указывается действующая на пользователя парольная политика FGPP (CN=Password Policy for Domain Admin,CN=Password Settings Container,CN=System,DC=winitpro,DC=ru).
Также действующую политику PSO для пользователя можно получить с помощью dsget:
dsget user «CN=Dmitriy,OU=Admins,DC=winitpro,DC=ru» –effectivepso
Настройка политики Fine-Grained Password Policy с помощью PowerShell
Естественно, в Windows Server 2012 R2 политики PSO можно создать и назначить на пользователей с помощью PowerShell:
New-ADFineGrainedPasswordPolicy -Name “Admin PSO Policy” -Precedence 10 -ComplexityEnabled $true -Description “Domain password policy for admins”-DisplayName “Admin PSO Policy” -LockoutDuration “0.10:00:00” -LockoutObservationWindow “0.00:20:00” -LockoutThreshold 5 -MaxPasswordAge “12.00:00:00” -MinPasswordAge “1.00:00:00” -MinPasswordLength 10 -PasswordHistoryCount 4 -ReversibleEncryptionEnabled $false
Назначим политику на группу пользователей:
Add-ADFineGrainedPasswordPolicySubject “Admin PSO Policy” -Subjects “Domain Admins”
Изменение пароля учетной записи Windows Server 2008
Смена пароля
В данном руководстве будет рассмотрена процедура изменения пароля в операционной системе Windows Server 2008
Для того что бы изменить пароль в своей учетной записи Администратора
Откройте «Пуск» и нажмите на иконку Учетной записи
Открылось окно «Учетные записи пользователей» , нажмите на «Изменение своего пароля«
Далее в окне «Изменение своего пароля«
- 1. Введите текущий пароль
- 2. Введите новый пароль (не меньше 8 символов и латинскими буквами ) в строке «Подтверждения пароля» — введите новый пароль ещё раз
- 3. Сохраните изменения кнопкой «Сменить пароль»
Таким образом Вы сменили пароль на текущую учетную запись, теперь мы рассмотрим функцию «Срок истечения пароля«
Срок истечения пароля
На сервере функция «Срок истечения пароля» по умолчанию установлена в 42 дня, это говорит о том что через каждые 42 дня Ваша система будет требовать смены пароля.
Где изменить или отключить эту функцию мы рассмотрим ниже
Нажмите «Пуск» далее Администрирование -> Локальная политика безопасности.
В окне «Локальная политика безопасности» слева нажмите на плюс «Политика учетных записей» далее на папку «Политика паролей«
Затем справа откройте запись «Максимальный срок действия пароля 42 дн.«
В открывшемся окне в значении «Срок истечения действия пароля» введите 0 или нужное Вам значение,
Значение «0» — говорит системе о том что — функция «Срок истечения действия пароля» — отключена.
В таком режиме срок действия пароля — бесконечный.
И нажмите кнопку «Применить» , готово.