Windows Server 2008 Active Directory umí více politik pro hesla a účty!
WOW, tohle mě vážně potěšilo :)
Windows Server 2008 (stále se mi dere na jazyk označení Longhorn, také se vám líbilo více?) nabízí možnost vytvoření tzv. PSO, což je Password Settings Object a ty následně namapovat na uživatelské objekty, či na security skupiny.
O co jde
Dost možná jste narazili na fakt, že v Active Directory doméně, ať již v módu Windows 2000 či Windows 2003, nemáte možnost specifikovat více politik pro hesla (délka, komplexnost, zamykání účtu,...) i když šablona pro skupinové politiky tuto možnost nabízí. Současné verze Active Directory zkrátka tuto možnost poskytovali jen na úrovni celé domény a tato politika platila pro všechny.
Active Directory v serveru Windows 2008 -politiky pro hesla a účty
Jak jsem již zmínil na začátku, nové Active Directory v native Longhorn módu nabízí vytvoření více politik s různým nastavením a ty následně přiřadit objektům typu uživatel či bezpečnostní skupina. Potřebujte-li tedy používat různé pravidla pro délku hesel, zamykání účtů či expiraci hesel pro různé skupiny vašich uživatelů, toto je cesta.
Lze také namapovat více PSO objektů k uživatelským účtům, o aplikaci té které politiky se následně rozhodne na základě tzv.precedence, čísla určujícího prioritu.
Jak na to
Současná verze serveru Windows 2008, tedy Beta 3, nemá pro vytvoření a správu těchto politik implemtované grafické dialogy (GUI). Pro vytvoření a další operace, jako mapování uživatelů k politice apod., je třeba použít buď ADSIedit, či nastavení naimportovat pomocí utility ldif přímo do Active Directory.
technet článek jakna to: https://technet2.microsoft.com/windowsserver2008/en/library/2199dcf7-68fd-4315-87cc-ade35f8978ea1033.mspx?mfr=true
Zdá se vám to složité? Další možností je použít Powershell a volně dostupné připravené command lety pro správu Active Directory od firmy Quest, ke stažení tu: https://www.quest.com/activeroles-server/arms.aspx.
Je přiložená i dokumentace popisující syntaxi jednotlivých příkazů. Jen pro příklad:
- seznam existujících PSO get-QADPasswordSettingsObject
- vytvoření nového objektu a nastavení jeho vlastností New-QADPasswordSettingsObject
- přiřazení existujícího PSO objektu Add-QADPasswordSettigsObjectAppliesTo
hezký den
Roman Černovský