Помощники в настройке Fine Grained Password Policy

Функция гранулированной настройки парольных политик (Fine Grained Password Policy), появившаяся в Windows Server 2008, сняла ограничения прошлых версий ОС на назначение парольных политик в домене Active Directory. Раньше было возможно настраивать только одну парольную политику в каждом домене. Теперь их можно настраивать несколько. Эта функция чрезвычайно востребована в современных IT-инфраструктурах. Подробности её работы и настройки можно почерпнуть здесь.

В принципе, описанного достаточно, чтобы успешно настраивать механизм. Однако я знаю, что некоторым специалистам хотелось бы иметь какую-нибудь утилиту, упрощающую процесс. Разумеется, бесплатную :) И такие утилиты, написанные энтузиастами своего дела, есть. Их использование, несомненно, возможно только после тестирования, и на ваш страх и риск, но по моему личному опыту они работают и действительно помогают администраторам в повседневной работе, в той или иной степени.

Fine Grained Password Policy Tool

При работе из Win2K8/R2, Vista, Windows 7: для инсталляции необходим предустановленный PowerShell.

При работе из Win2K3/R2 или Windows XP SP2: для инсталляции необходимы предустановленные: .NET Framework 2.0; MMC 3.0; PowerShell.

Компьютер, на котором будет использоваться утилита, должен быть включен в домен.

Утилита доступна как в 32-х, так и в 64-х битном исполнении. В её составе – комплект описательной документации, включающий примеры использования.

При задании новой политики включается удобный Визард:

Политику можно экспортировать в XML-файл, что удобно для ее перемещения на другие инфраструктуры:

При наличии нескольких политик есть возможность определения эффективной (реально действующей) политики для определенного аккаунта или группы:

Приятная особенность – утилита работает в командной строке PowerShell. Чтобы начать работу с командлетами утилиты, необходимо сначала подгрузить их командой : Add - PSSnapinPasswordPolicy

Specops Password Policy Basic 

У этой утилиты есть старший брат – платная программа Specops Password Policy. Но мы будем рассматривать ее бесплатный упрощенный вариант. Он предлагается только в 32-разрядной версии.

Требования для инсталляции утилиты: .NET Framework 2.0, MMC 3.0. Утверждается, что утилита будет работать не только на серверной версии ОС, но и в Висте.

Интерфейс понятный, удобный.

Возможность поиска эффективной политики для пользователя или группы есть. Результат выводится в следующем виде:

Есть также возможность, выделив определенную политику, посмотреть, на каких пользователей она действует:

Так же, как и Fine Grained Password Policy Tool, утилита поддерживает Power Shell (после добавления командлетов командой Add-PSSnapin SpecopsSoft.PasswordPolicyBasic).

Следует иметь в виду, что для возможности работы с командлетами из 64-разрядной версии ОС необходимо отдельной командой сперва зарегистрировать их, так как при инсталляции этот процесс проходит некорректно. Регистрация выполняется так:

C:\Windows\Microsoft.NET\Framework64\v2.0.50727\InstallUtil.exe "C:\Program Files (x86)\Specopssoft\Specops Password Policy Basic\Administration\SpecopsPasswordPolicyBasicCommand.dll"

Password Policy Manager

32-разрядная утилита от производителя Parhelia. В отличие от других рассматриваемых нами утилит, она не нуждается в установке. Просто нужно запустить имеющийся exe-файл. Как утверждает производитель, работает с Windows XP, Vista, Win2K3 и Win2K8.

Программа явно ближе по интерфейсу к adsiedit.msc. Работать нужно непосредственно с объектами PSO:

Заметим, что политику можно экспортировать в файл ldf:

Понравилось, что временные параметры задаются в соответствии с правильным форматом (в отличие от FGPP и SpecOps):

Применить политики для пользователей и групп возможно непосредственно кликнув на них правой кнопкой мыши:

Проверить, в каком объекте PSO задействован пользователь напрямую, можно через опцию «Check for Existing PSO»:

Но я не нашел возможности проверить результирующую политику на конкретного пользователя. А это очень важная функция. Также, не предоставляются командлеты для работы с PowerShell. А хелп чрезвычайно скуден.

PowerGUI

PowerGUI – это инструмент для работы с PowerShell. Фактически, это надстройка над PowerShell, графический интерфейс и средство построения скриптов для управления системами на основе PowerShell. PowerGUI позволяет использовать богатые возможности PowerShell с помощью привычной и интуитивно понятной консоли. Это свободно распространяемый продукт, у него есть свой сайт и множество поклонников.

Для установки PowerGUI, соответственно, необходима компонента PowerShell. В работе нам необходимо будет использовать командлеты для Active Directory, поэтому перед установкой PowerGUI необходимо также доустановить в систему дополнительные файлы соответствующей разрядности (потребуется .NET Framework 3.5 SP1).

Далее инсталлируем PowerGUI:

Стартуем PowerGUI:

Так как разработчик утилиты – MVP и просто уважаемый человек Дмитрий Сотников – интерфейс можно переключить на русский язык (меню Tools).

После установки собственно PowerGUI нам нужно доустановить и проимпортировать оснастку управления паролями (файл с расширением .powerpack или .xml):

Интерфейс помогает создавать, редактировать политики, назначать пользователей и группы.

Утилита показывает, какая политика является результирующей для определенного пользователя:

Также она может показать, на каких пользователей действует определенная политика:

Окно создания новой политики:

Я, однако, столкнулся с трудностями при редактировании ранее определенных параметров политик. При нажатии на «Modify» появляется только такое окно:

Соответственно, единожды задав политику, я больше не могу толком ее править – это не приемлемо. Возможно, данный инцидент решаем, но интуитивно достичь результата мне не удалось.

Сравнительная таблица

В данной таблице я собрал основные различия в составе и функционале рассмотренных утилит.

Какую из них выбрать, или использовать штатные средства Windows Server 2008 – выбирать Вам. Удачи в работе, дорогие Админы!