Promemoriya.ru

Дачный журнал
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как настроить политики пользователей домена

Настройка политики паролей пользователей в Active Directory

Для обеспечения высокого уровня безопасности учетных записей в домене Active Directory администратору необходимо настроить и внедрить доменную политику паролей. Политика паролей должна обеспечивать достаточную сложность, длину пароля, частоту смены пароля пользователей и сервисных учетных записей. Тем самым можно усложнить злоумышленнику возможность подбора или перехвата паролей пользователей.

  • Политика паролей в Default Domain Policy
  • Основные настройки политики паролей
  • Просмотр текущей парольной политики в домене
  • Несколько парольных политик в домене Active Directory

Политика паролей в Default Domain Policy

По-умолчанию в домене AD настройка общих требований к паролям пользователей осуществляется с помощью групповых политик. Политика паролей учетных записей домена настраивается в политике Default Domain Policy. Эта политика прилинкована к корню домена и обязательно должна применяться к контролеру домена с FSMO ролью PDC эмулятор.

  1. Чтобы настроить политику паролей, откройте консоль управления доменными GPO (Group Policy Management console – gpmc.msc );
  2. Разверните ваш домен и найдите политику Default Domain Policy. Щелкните по ней ПКМ и выберите Edit;
  3. Политики паролей находятся в следующем разделе редактора GPO: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей (Computer configuration -> Windows Settings -> Security Settings -> Account Policies -> Password Policy);
  4. Чтобы отредактировать настройки параметра политики, дважды щелкните по ней. Чтобы включить политику, отметьте галку Define this policy settings и укажите необходимую настройку (в примере на скриншоте я задал минимальную длину пароля пользователя 8 символов). Сохраните изменения;
  5. Новые настройки парольной политики будут применены ко все компьютерам домена в фоновом режиме в течении некоторого времени (90 минут), при загрузке компьютера, либо можно применить новые параметры групповых политик немедленно, выполнив команду gpupdate /force

Вы можете изменить настройки политики паролей из консоли управления GPO или с помощью PowerShell командлета Set-ADDefaultDomainPasswordPolicy:

Set-ADDefaultDomainPasswordPolicy -Identity winitpro.ru -MinPasswordLength 14 -LockoutThreshold 10

Основные настройки политики паролей

Рассмотрим все доступные для настройки параметры управления паролями пользователями. Всего есть шесть параметров политики паролей:

Если пользователь пытается сменить пароль, которые не соответствует политике паролей в домене, у него появится ошибка:

Кроме того, нужно отдельно выделить настройки в разделе GPO: Политика блокировки учетной записи (Account Lockout Password):

  • Пороговое значение блокировки (Account Lockout Threshold) – как много попыток набрать неверный пароль может сделать пользователь перед тем, как его учетная запись будет заблокирована;
  • Продолжительность блокировки учетной записи (Account Lockout Duration) – на какое время нужно заблокировать учетную запись (запретить вход), если пользователь ввел несколько раз неверный пароль;
  • Время до сброса счетчика блокировки (Reset account lockout counter after) – через сколько минут после последнего ввода неверного пароля счетчик неверных паролей (Account Lockout Threshold) будет сброшен.

Настройки парольных политик домена Active Directory по-умолчанию перечислены в таблице:

ПолитикаЗначение по-умолчанию
Enforce password history24 пароля
Maximum password age42 дня
Minimum password age1 день
Minimum password length7
Password must meet complexity requirementsВключено
Store passwords using reversible encryptionОтключено
Account lockout durationНе определено
Account lockout threshold
Reset account lockout counter afterНе определено

В Security Compliance Toolkit Microsoft рекомендует использовать следующие настройки парольных политик:

  • Enforce Password History: 24
  • Maximum password age: not set
  • Minimum password age: not set
  • Minimum password length: 14
  • Password must meet complexity: Enabled
  • Store passwords using reversible encryption: Disabled

Просмотр текущей парольной политики в домене

Вы можете посмотреть текущие настройки политики паролей в Default Domain Policy в консоли gpmc.msc (вкладка Settings).

Также можно вывести информацию о политике паролей с помощью PowerShell (на компьютере должен быть установлен модуль AD PowerShell):

Или можно проверить текущие настройки политики паролей AD на любом компьютере домена с помощью стандартной утилиты gpresult.

Несколько парольных политик в домене Active Directory

За управление доменной парольной политики отвечает контроллер домена, владелец FSMO роли PDC Emulator. Политика применяется к компьютерам домена, а не пользователям. Для редактирования настроек Default Domain Policy необходимы права администратора домена.

В домене может быть только одна политика паролей, которая применяется на корень домена и действует на всех пользователей без исключения (есть, конечно, нюансы, но о них ниже). Даже если вы создадите новую GPO с другими парольными настройками и примените ее к OU с параметрами Enforced и Block Inheritance, она не будет применяться к пользователям.

До версии Active Directory в Windows Server 2008 можно было настраивать только одну политику паролей для домена. В новых версиях AD вы можете создать отдельные политики паролей для различных групп пользователей с помощью гранулированных политик паролей Fine-Grained Password Policies (FGPP). Гранулированные политики паролей позволяют создавать и применять разные объекты параметров паролей (Password Settings Object — PSO). Например, вы можете создать PSO повышенной длиной или сложностью пароля для учетных записей доменных администраторов (см. статью о защите административных учетных записей в AD), или наоборот упростить (отключить) пароль для каких-то учетных записей.

Читать еще:  Сколько кирпичей нужно для постройки двухэтажного дома

Как настроить политики пользователей домена

Для локального компьютера, входящего в рабочую группу (не домен) набираем в командной строке gpedit.msc, жмем Enter, и редактируем настройки политики по своему желанию. Также можно запустить через Start -> Programs -> Administrative Tools -> Local Security Poliсy.

Для домена AD группову ю политику (ГП) можно применить к существующим в домене организационным подразделениям (Organizational Unit, OU) — всему домену, группам пользователей и компьютеров (за исключением встроенных в домен стандартных контейнеров AD — Users, Computers и Builtin — эти контейнеры не являются OU). Работу с групповой политикой домена лучше рассмотреть на конкретном примере. Задача — дать обычным (не администраторам) пользователям домена права на использование средств проверки орфографии. Обычный метод решения этой задачи состоит из муторного ручного редактирования реестра и безопасности каталогов на каждой машине. С помощью ГП можно автоматизировать решение этой проблемы.

1. Открываем оснастку Active Directory Users and Computers.

2. Выбираем свойства домена или организационного подразделения (ОП), для которого хотим изменить групповую политику. Для нашей задачи это — целый домен. Итак, выбираем из контекстного меню свойства домена.

3. На последней закладке Group Policy в белом окошке мы увидим так называемые объекты групповой политики (ОГП). Пока (по умолчанию) там только один объект — Default Domain Policy. У нас два варианта на выбор — создать новый ОГП (кнопка New) или редактировать существующий ОГП (кнопка Edit). Для нас проще выбрать ОГП Default Domain Policy и нажать кнопку Edit.

4. Откроется консоль с оснаской групповой политики. Групповая политика имеет две главные ветки — Computer Configuration и User Configuration с одинаковыми подветками Software Settings, Windows Settings и Administrative Templates (тем не менее содержимое у каждой отличается). Ветвь Computer срабатывает при инициализации Windows и во время периодического цикла обновления, а ветвь User — когда пользователь регистрируется на компьютере и тоже во время периодического цикла обновления. В общем случае Computer имеет приоритет перед User. Итак, выбираем последовательно Computer ConfigurationWindows SettingsSecurity SettingsRegistry, в контекстном меню выбираем «Add Key. «.

5. В открывшемся окошке последовательно выбираем папкуключ реестра MACHINE SOFTWARE Microsoft Shared Tools Proofing Tools, нажимаем Ok.

6. В новом открывшемся окне Security:
— удаляем Everyone
— добавляем Domain Users
— даём права Full Control — Allow
— галочка «Разрешить наследовать разрешения от родителей на этот объект» должна стоять
Жмем Ok.

7. Появляется ещё одно окошко — Template Security Policy Setting. Там на выбор предоставляется фактически три варианта, смысл каждого, в общем, ясен, но как-то не до конца :):
Вариант 1. Распространить родительские разрешения на все подключи. Этот вариант у меня почему-то не всегда срабатывал в домене, когда я пытался с его помощью наложить права на ветку реестра HKLMSOFTWARE Microsoft Shared Tools Proofing Tools (в разделе Computer Configuration). Причём на права на файловую систему NTFS раздавались нормально.
Вариант 2. Заменить существующие права на все подключи родительскими правами. Этот вариант лучше раздавал права не ветки реестра, чем предыдущий.
Вариант 3. Не разрешить заменить права на этот ключ.
Выбираем вариант 1 (или 2), жмем Ок.

8. Выбираем последовательно Computer Configuration Windows Settings Security Settings File System, в контекстном меню выбираем «Add File. «. В открывшемся окошке последовательно выбираем (внимание, офис 97 должен стоять у всех компьютеров на системном диске!) %SystemDrive% ProgramFiles Common Files Microsoft Shared, нажимаем Ок.

9. В новом открывшемся окне Security:
— удаляем Everyone
— добавляем Domain Users
— даём права Full Control — Allow
— галочка «Разрешить наследовать разрешения от родителей на этот объект» должна стоять
Жмем Ok.

10. Появляется ещё одно окошко — Template Security Policy Setting. Выбираем вариант 1, жмем Ок.

Настройка GPO через RDP для ВМ в домене MS AD

Для настройки необходимо выполнить 3 шага: 1. Создать группу безопасности 1. Создать групповую политику 1. Проверка применения групповой политики

Читать еще:  Как подключить сварочный аппарат дома

Создание группы безопасности

Создадим группу VDI_RDP и добавим пользователей, которым будет разрешено входить на ВМ через протокол RDP. Для это заходим в оснастку Active Directory — пользователи и компьютерыИмя доменаUsers, щелкаем по нему правой кнопкой мыши и выбираем из доступных свойств СоздатьГруппа, вводим имя группы и нажимаем ОК

Создание групповой политики

Открываем оснастку управления групповыми политиками: ПускСредства администрирование WindowsУправление групповой политикой. Создаём организационный контейнер VDI. Контейнер можно создать через оснастку Управление групповой политикой либо Active Directory — пользователи и компьютеры

Политика применяется на организационный контейнер VDI в котором располагаются подконтрольные ВМ, поэтому раскрываем домен, находим контейнер VDI, щелкаем по нему правой кнопкой мыши и выбираем из доступных свойств Создать объект групповой политики в этом домене и связать его. . Назовём его Enable RDP. Открываем политику на редактирование и переходим в элементы конфигурирования настроек на компьютер: Enable RDPКонфигурация компьютераПолитикиКонфигурация WindowsПараметры безопасностиГруппы с ограниченным доступом. Щелкаем правой кнопкой мыши вызываем свойства и выбираем Добавить группуОбзор, далее через Обзор находим созданную группу: VDI_RDP. По окончании нажимаем кнопку Применить и OK

В окне Свойства группы настраиваем членства к другой группе. Нажимаем Добавить находим группу Пользователи удалённого рабочего стола и добавляем. Нажимаем ОК.

Теперь активируем галочку разрешить подключение к удалённому рабочему столу в свойства системы ВМ. Для этого внесём изменения в групповую политику Enable RDP.

Enable RDPКонфигурация компьютераНастройкаКонфигурация WindowsРеестр, создаем новый ключ, СоздатьЭлемент реестра.

  1. Действие:Обновить
  2. Куст: HKEY_LOCAL_MACHINE
  3. Путь раздела:SystemCurrentControlSetControlTerminal Server
  4. Имя параметра: fDenyTSConnections
  5. Тип параметра: REG_DWORD
  6. Значение: 00000000

По окончании настроек нажимаем кнопку Применить и OK для принятия изменений. Теперь чтобы политика применилась на рабочие станции в организационном контейнере VDI они должны быть перезагружены.

Проверка применения групповой политики

Что бы проверить применилась ли групповая политика Enable RDP, необходимо зайти на ВМ в оснастку Управление компьютеромЛокальные пользователиГруппыПользователи удалённого рабочего стола. В свойствах группы должна быть указана группа VDI_RDP

Администрирование групповой политики в управляемом домене доменных служб Azure Active Directory

Параметры для объектов пользователей и компьютеров в доменных службах Azure Active Directory (Azure AD DS) часто управляются с помощью объектов групповой политики (GPO). AD DS Azure включает встроенные объекты групповой политики для контейнеров Пользователи AADDC и Компьютеры AADDC. С помощью этих встроенных объектов групповой политики можно настроить групповую политику в соответствии с потребностями среды. Члены группы администраторов контроллера домена Azure AD имеют разрешения администрирования групповой политики в домене Azure AD DS, а также могут создавать пользовательские объекты групповой политики и подразделения (OU). Дополнительные сведения о том, что такое групповая политика и как она работает, см. в статье Общие сведения о групповой политике.

В гибридной среде групповые политики, настроенные в локальной среде AD DS, не синхронизируются с Azure AD DS. Чтобы определить параметры конфигурации для пользователей или компьютеров в AD DS Azure, измените один из объектов групповой политики по умолчанию или создайте пользовательский объект групповой политики.

В этой статье показано, как установить средства управления групповыми политиками, а затем изменить встроенные объекты групповой политики и создать пользовательские объекты групповой политики.

Перед началом

Для работы с этой статьей требуются следующие ресурсы и разрешения:

  • Активная подписка Azure.
    • Если у вас еще нет подписки Azure, создайте учетную запись.
  • Связанный с вашей подпиской клиент Azure Active Directory, синхронизированный с локальным или облачным каталогом.
    • Если потребуется, создайте клиент Azure Active Directory или свяжите подписку Azure со своей учетной записью.
  • Управляемый домен доменных служб Azure Active Directory, включенный и настроенный в клиенте Azure AD.
    • Если потребуется, выполните инструкции из руководства по созданию и настройке управляемого домена доменных служб Azure Active Directory.
  • Виртуальная машина управления на базе Windows Server, присоединенная к управляемому домену Azure AD DS.
    • Если потребуется, выполните инструкции из руководства по созданию виртуальной машины Windows Server и ее присоединению к управляемому домену.
  • Учетная запись пользователя, входящая в группу администраторов Azure AD DC в клиенте Azure AD.

Вы можете использовать административные шаблоны групповой политики, скопировав новые шаблоны на рабочую станцию управления. Скопируйте файлы ADMX в %SYSTEMROOT%PolicyDefinitions и скопируйте файлы ADML для конкретного языкового стандарта в %SYSTEMROOT%PolicyDefinitions[Language-CountryRegion] , где Language-CountryRegion соответствует языку и региону файлов ADML.

Например, скопируйте версии файлов ADML для английского языка (США) в папку en-us .

Читать еще:  Как установить ванну в деревянном доме видео

Установка средств управления групповыми политиками

Для создания и настройки объекта групповой политики (GPO) необходимо установить средства управления групповыми политиками. Их можно установить как компонент Windows Server. Подробнее об установке средств администрирования на клиенте Windows см. в статье об установке средств удаленного администрирования сервера (RSAT).

Войдите на виртуальную машину управления. Инструкции по подключению с помощью портала Azure см. в статье Подключение к виртуальной машине Windows Server.

При входе в виртуальную машину по умолчанию должен открываться диспетчер сервера. Если это не произойдет, откройте меню Пуск и выберите Диспетчер сервера.

На панели управления в окне диспетчера серверов щелкните Добавить роли и компоненты.

На странице Перед началом работы в мастере добавления ролей и компонентов щелкните Далее.

В разделе Тип установки оставьте флажок Установка ролей или компонентов и щелкните Далее.

На странице Выбор сервера выберите из пула серверов текущую виртуальную машину, например myvm.aaddscontoso.com, и щелкните Далее.

На странице Роли сервера нажмите кнопку Далее.

На странице Функции выберите Управление групповой политикой.

На странице Подтверждение щелкните Установить. Установка средств управления групповыми политиками может занять одну-две минуты.

Когда установка компонента завершится, нажмите кнопку Закрыть, чтобы выйти из мастера добавления ролей и компонентов.

Открытие консоли управления групповыми политиками и изменение объекта

Объекты групповой политики (GPO) по умолчанию существуют для пользователей и компьютеров в управляемом домене. Компонент управления групповыми политиками, установленный в предыдущем разделе, позволяет просматривать и редактировать существующий объект групповой политики. В следующем разделе вы создадите пользовательский объект групповой политики.

Для администрирования групповой политики в управляемом домене необходимо войти в учетную запись пользователя, принадлежащую к группе Администраторы контроллера домена AAD.

На начальном экране выберите Администрирование. Отобразится список доступных средств управления, включая функцию Управление групповыми политиками, установленную в предыдущем разделе.

Чтобы открыть консоль управления групповыми политиками (GPMC), выберите Управление групповыми политиками.

В управляемом домене есть два встроенных объекта групповой политики (GPO) — один для контейнера Компьютеры AADDC, а другой — для контейнера Пользователи AADDC. Вы можете изменять эти объекты групповой политики, чтобы настраивать групповую политику необходимым образом в управляемом домене.

В консоли Управления групповыми политиками разверните узел Лес: aaddscontoso.com. Затем разверните узлы Домены.

Существует два встроенных контейнера для Компьютеры AADDC и Пользователи AADDC. К каждому из этих контейнеров применен объект групповой политики по умолчанию.

С помощью этих встроенных объектов групповой политики можно настроить определенные групповые политики в вашем управляемом домене. Щелкните правой кнопкой мыши один из объектов групповой политики, например Объект групповой политики «Компьютеры AADDC» , а затем выберите Правка. .

Откроется средство «Редактор управления групповыми политиками», позволяющее настроить объект групповой политики, например Политики учетных записей.

По завершении выберите Файл > Сохранить, чтобы сохранить политику. По умолчанию компьютеры обновляют групповую политику каждые 90 минут и применяют внесенные изменения.

Создание пользовательского объекта групповой политики

Для группирования аналогичных параметров политики часто имеет смысл создавать дополнительные объекты групповой политики, а не применять все необходимые параметры в одном объекте групповой политики по умолчанию. С помощью Azure AD DS можно создавать или импортировать собственные объекты групповой политики и связывать их с пользовательским подразделением. Если необходимо сначала создать пользовательское подразделение, см. статью о создании пользовательского подразделения в управляемом домене.

В консоли Управление групповыми политиками выберите пользовательские подразделение, например MyCustomOU. Щелкните подразделение правой кнопкой мыши и выберите пункт Создать объект групповой политики в этом домене и связать его.

Укажите имя для нового объекта групповой политики, например Мой пользовательский объект групповой политики, а затем нажмите кнопку ОК. Можно также создать этот пользовательский объект групповой политики на основе существующего объекта групповой политики и набора параметров политики.

Пользовательский объект групповой политики создается и связывается с пользовательским подразделением. Чтобы настроить параметры политики, щелкните правой кнопкой мыши пользовательский объект групповой политики и выберите пункт Правка. :

Откроется Редактор управления групповыми политиками, позволяющий настроить объект групповой политики:

По завершении выберите Файл > Сохранить, чтобы сохранить политику. По умолчанию компьютеры обновляют групповую политику каждые 90 минут и применяют внесенные изменения.

Дальнейшие действия

Дополнительные сведения о доступных параметрах групповой политики, которые можно настроить с помощью консоли «Управление групповыми политиками», см. в разделе Работа с параметрами групповой политики.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector