Windows Server 2008 Fine-Grained Password Policy
Server 2003 de Domain,OU,Site’lara tek bir Password Policy belirleyebiliyorduk.Bu tür bir Policy’i kullanıcı bazlı yapamıyorduk.Bunu Windows Server 2003 ortamında çözebilmenin tek yolu bir Child domain kurup farklı password policy uygulamak ve istediğimiz kişileri bu domain’e taşımak idi.
Server 2008 AD DS içerisindeki yeni özelliklerden biride Fine-Grained password policy’lerdir.Bu özellik sayesinde farklı kullanıcı ve gruplar için domain içerisinde özel password policy’ler oluşturmak mümkün.Bu özellikle çalışanlar için ayrı policy’ler belirliyebilip,kişi bazlı policyler oluşturabilmekteyiz.IT bölümünde çalışanların şifrelerini 14 karakter, Insan Kaynakları departmanında çalışanların şifrelerini 8 karakter olacak şekilde konfigüre edebiliriz veya sık sık şifresi expire olmaması gereken tek bir kullanıcı için istediğimiz şifre ayarlarını yapabiliriz.
Bunları yapabilmek için;
1.Fine-grained password policy uygulayacak kişi Domain Admins grubuna üye olmalıdır.
2.Fine-grained password policy sadece grup ve kullanıcı hesaplarına uygulanabilir.OU seviyesinde fine-grained password policy yapılamaz.
3.Domain Functional Level Windows Server 2008 olmak zorundadır.
Kullanıcı bazlı Password policy nasıl oluşturacağımızı görelim.
Plan: AD üzerindeki Teknik Servis isimli OU altında bulunan yurdal isimli kullanıcıya ayrı bir password policy uygulacağız.
2. Çalıştır -Adsiedit.msc komutunu kullanıyoruz.
3. İlk olarak ADSİ Edit girip bu işlemi yapacağımız DC’ye bağlanacağız.
4: Üzerinde çalıştığım DC makinasında bu işlemleri yapacağımdan default ayarlara ok diyerek devam edelim.
5. Karşımıza gelen Adsiedit konsolunda CN=System altından CN=Password Settings Container üzerine sağ tıklayıp yeni bir Object oluşturuyoruz.
6. Class penceresini next diyerek geçiyorum.
7. Oluşturacağımız object bir isim verelim. Ben konuya uygun olsun diye kullanıcı bazlı policy dedim.
8. Bu pencerede ise kullanıcıya etki edecek bir kaç tane PSO ( Password Settings Object )varsa hangisinin daha önce olacağını sağlayan değer, sayı (integer) girmeliyiz.
9. Encryption kullanmayacağım için bu niteliğin değerini FALSE olarak belirliyorum.
Yani bunu demek istiyoruz.
10. Kullanıcının en son hangi password bilgisinin hatırlanacağını buradan ayarlıyoruz.Bu şekilde kullanıcı en son kullandığı şifreleri güvenlik gereği tercih edemez.En son 15 tane şifrenin hatırlanmasını istiyorum.
Yukarıdaki ayarlar aslında aşağıdaki resimdeki gibi ben 24 yerine 15 verdim.
11. Genelde güvenliğimiz için her zaman Password bilgisinin complex olması tercih edilir.Benimde tercihim complex yönünde bu yüzden TRUE yazıyorum.
Yani bu ayarı yapmış oluyoruz.
12. Kullanıcının şifresinin minumum 7 yerine 8 karakterli olmasını istiyorum.
Yani
13. Minumum Password Age değerini belirleyelim.Bu policy ile,şifre değişikliği yapan kullanıcının minumum 1 gün boyunca yeni şifresini kullanmasını sağlıyoruz.Default olarak bu değer 1 gündür.
Default olarak gelen ayarı kullanacağım. Ancak burada yazım formatımız biraz değişiyor. Aşağıdaki resimde de görebileceğiniz gibi vereceğimiz değerler soldan sağa doğru, Gün, Saat, Dakika, Saniye şeklindedir.
14. Aynı şekilde Maximum Password Age ayarını yapıyoruz. Default olarak gelen süre 42 gündür. Yine o değeri belirliyorum.
Yani aşağıdaki ayarı yapıyoruz. Windows Server 2003 den hatırlayacaksınız.
15.Burda ise AccounLockOut ayarlarını yapalım. Kullanıcı şifresini kaç kez yanlış girdiğinde hesabının kilitleneceğini buraya gireceğimiz sayılar ile belirliyoruz. Ben 3 kez olarak belirledim.
16. Yanlış girilen şifre bilgisini tutan sayacın 30 dakikada bir resetlenmesini istiyorum. Yukarıdaki gibi gün, saat, dakika, saniye olarak yazıyoruz.
17. Bu bölümde ise Lock olan hesabın ne kadar süre boyunca bu şekilde kalacağı belirliyoruz. Yine 45 Dakika olarak belirliyorum.
18. Finish diyerek wizard’ı bitiriyoruz.
19. Attribute’unu kullanıcımıza uygulayalım. Sağ tıklayıp Objenin özelliklerine giriyoruz.
20. msDS-PSOAppliesTo değerini bulup edit butonuna tıklıyoruz.
21. Add Windows Account butonuna tıklayarak bu policy’i uygulamak istediğimiz kullanıcıyı seçeceğiz.
22.Kullanıcıyı bulup ekliyelim.
Son duruma bakalım.
23.Son olarak yaptığımız kullanıcı bazlı policy’nin doğru şekilde olup olmadığını görmeye geldi. Active Directory users and Computers girip View den gelişmiş özellikleri açalım.
24.Policy uyguladığımız yurdal adlı kullanıcıya sağ tıklayıp properties’ine girelim.
25.İlk önce kullanıcının özelliklerinde Attribute Editor bölümüne geliyoruz. Daha sonra filter den Constructed seçeneğini aktif ediyoruz. Son olarakta msDS-ResultantPSO seçeneğini işaretliyoruz. Ayarlarımızın uygulandığını görüyoruz.
Bu ilk makalem umarım yararlı olmuşumdur ve doğru bir şekilde anlatmışımdır.
Eline sağlık.