Windows Server 2008 Active Directory umí více politik pro hesla a účty!

  • Article

WOW, tohle mě vážně potěšilo :)
Windows Server 2008 (stále se mi dere na jazyk označení Longhorn, také se vám líbilo více?) nabízí možnost vytvoření tzv. PSO, což je Password Settings Object a ty následně namapovat na uživatelské objekty, či na security skupiny.

O co jde 

Dost možná jste narazili na fakt, že v Active Directory doméně, ať již v módu Windows 2000 či Windows 2003, nemáte možnost specifikovat více politik pro hesla (délka, komplexnost, zamykání účtu,...) i když šablona pro skupinové politiky tuto možnost nabízí. Současné verze Active Directory zkrátka tuto možnost poskytovali jen na úrovni celé domény a tato politika platila pro všechny.

Active Directory v serveru Windows 2008 -politiky pro hesla a účty

Jak jsem již zmínil na začátku, nové Active Directory v native Longhorn módu nabízí vytvoření více politik s různým nastavením a ty následně přiřadit objektům typu uživatel či bezpečnostní skupina. Potřebujte-li tedy používat různé pravidla pro délku hesel, zamykání účtů či expiraci hesel pro různé skupiny vašich uživatelů, toto je cesta.
Lze také namapovat více PSO objektů k uživatelským účtům, o aplikaci té které politiky se následně rozhodne na základě tzv.precedence, čísla určujícího prioritu.

Jak na to

Současná verze serveru Windows 2008, tedy Beta 3, nemá pro vytvoření a správu těchto politik implemtované grafické dialogy (GUI). Pro vytvoření a další operace, jako mapování uživatelů k politice apod., je třeba použít buď ADSIedit, či nastavení naimportovat pomocí utility ldif přímo do Active Directory.

technet článek jakna to: https://technet2.microsoft.com/windowsserver2008/en/library/2199dcf7-68fd-4315-87cc-ade35f8978ea1033.mspx?mfr=true 

Zdá se vám to složité? Další možností je použít Powershell a volně dostupné připravené command lety pro správu Active Directory od firmy Quest, ke stažení tu: https://www.quest.com/activeroles-server/arms.aspx.
Je přiložená i dokumentace popisující syntaxi jednotlivých příkazů. Jen pro příklad:

  • seznam existujících PSO get-QADPasswordSettingsObject
  • vytvoření nového objektu a nastavení jeho vlastností New-QADPasswordSettingsObject
  • přiřazení existujícího PSO objektu Add-QADPasswordSettigsObjectAppliesTo

hezký den
Roman Černovský