Windows Server

Windows Server 2008 Fine-Grained Password Policy


Server 2003 de Domain,OU,Site’lara tek bir Password Policy belirleyebiliyorduk.Bu tür bir Policy’i kullanıcı bazlı yapamıyorduk.Bunu Windows Server 2003 ortamında çözebilmenin tek yolu bir Child domain kurup farklı password policy uygulamak ve istediğimiz kişileri bu domain’e taşımak idi.


               


Server 2008 AD DS içerisindeki yeni özelliklerden biride Fine-Grained password policy’lerdir.Bu özellik sayesinde farklı kullanıcı ve gruplar için domain içerisinde özel password policy’ler oluşturmak mümkün.Bu özellikle  çalışanlar için ayrı policy’ler belirliyebilip,kişi bazlı  policyler oluşturabilmekteyiz.IT bölümünde çalışanların şifrelerini 14 karakter, Insan Kaynakları  departmanında çalışanların şifrelerini 8 karakter olacak şekilde konfigüre edebiliriz veya sık sık şifresi expire olmaması gereken tek bir kullanıcı için istediğimiz şifre ayarlarını yapabiliriz.


 


Bunları yapabilmek için;


1.Fine-grained password policy uygulayacak kişi Domain Admins grubuna üye olmalıdır.


2.Fine-grained password policy sadece grup ve kullanıcı hesaplarına uygulanabilir.OU seviyesinde fine-grained password policy yapılamaz.


3.Domain Functional Level Windows Server 2008 olmak zorundadır.


 Kullanıcı bazlı Password policy nasıl oluşturacağımızı görelim.


Plan: AD üzerindeki Teknik Servis  isimli OU  altında bulunan yurdal isimli kullanıcıya ayrı bir password policy uygulacağız.


 image001


2. Çalıştır -Adsiedit.msc komutunu kullanıyoruz.


image002


3. İlk olarak ADSİ Edit  girip bu işlemi yapacağımız DC’ye bağlanacağız.


image003


4: Üzerinde çalıştığım DC makinasında bu işlemleri yapacağımdan default ayarlara ok diyerek devam edelim.


image004


5. Karşımıza gelen Adsiedit konsolunda CN=System altından CN=Password Settings Container üzerine sağ tıklayıp yeni bir Object oluşturuyoruz.


image005


6. Class penceresini next diyerek geçiyorum.


image006


7. Oluşturacağımız object bir isim verelim. Ben konuya uygun olsun diye kullanıcı bazlı policy dedim.


image007


8. Bu pencerede ise kullanıcıya etki edecek bir kaç tane PSO ( Password Settings Object )varsa hangisinin daha önce olacağını sağlayan değer, sayı (integer) girmeliyiz.


image008


9. Encryption kullanmayacağım için bu niteliğin değerini FALSE olarak belirliyorum.


image009


Yani bunu demek istiyoruz.


image010


10. Kullanıcının en son hangi password bilgisinin hatırlanacağını buradan ayarlıyoruz.Bu şekilde kullanıcı en son kullandığı şifreleri güvenlik gereği tercih edemez.En son 15 tane şifrenin hatırlanmasını istiyorum.


image011


Yukarıdaki ayarlar aslında aşağıdaki resimdeki gibi ben 24 yerine 15 verdim.


image012


11. Genelde güvenliğimiz için her zaman Password bilgisinin complex olması tercih edilir.Benimde tercihim complex yönünde bu yüzden TRUE yazıyorum.


image013


Yani bu ayarı yapmış oluyoruz.


image014


 


12. Kullanıcının şifresinin minumum 7 yerine 8  karakterli olmasını istiyorum.


image015


Yani


image016


13. Minumum Password Age değerini belirleyelim.Bu policy ile,şifre değişikliği yapan kullanıcının minumum 1 gün boyunca yeni şifresini kullanmasını sağlıyoruz.Default olarak bu değer 1 gündür.


image017


Default olarak gelen ayarı kullanacağım. Ancak burada yazım formatımız biraz değişiyor. Aşağıdaki resimde de görebileceğiniz gibi vereceğimiz değerler soldan sağa doğru, Gün, Saat, Dakika, Saniye şeklindedir.


image018


14. Aynı şekilde Maximum Password Age ayarını yapıyoruz. Default olarak gelen süre 42 gündür. Yine o değeri belirliyorum.


image019


Yani aşağıdaki ayarı yapıyoruz. Windows Server 2003 den hatırlayacaksınız.


image020


15.Burda ise AccounLockOut ayarlarını yapalım. Kullanıcı şifresini kaç kez yanlış girdiğinde hesabının kilitleneceğini buraya gireceğimiz sayılar ile belirliyoruz. Ben 3 kez olarak belirledim.


image021


16. Yanlış girilen şifre bilgisini tutan sayacın 30 dakikada bir resetlenmesini istiyorum. Yukarıdaki gibi gün, saat, dakika, saniye olarak yazıyoruz.


image022


17. Bu bölümde ise Lock olan hesabın ne kadar süre boyunca bu şekilde kalacağı belirliyoruz. Yine 45 Dakika olarak belirliyorum.


image023


18. Finish diyerek wizard’ı bitiriyoruz.


.image024


19. Attribute’unu kullanıcımıza uygulayalım. Sağ tıklayıp Objenin özelliklerine giriyoruz.


image025


20. msDS-PSOAppliesTo değerini bulup edit butonuna tıklıyoruz.


image026


21. Add Windows Account butonuna tıklayarak bu policy’i uygulamak istediğimiz kullanıcıyı seçeceğiz.


image027


22.Kullanıcıyı bulup ekliyelim.


image028


image029


Son duruma bakalım.


image030


23.Son olarak yaptığımız kullanıcı bazlı policy’nin doğru şekilde olup olmadığını görmeye geldi. Active Directory users and Computers girip View den gelişmiş özellikleri açalım.


image031


 


24.Policy uyguladığımız yurdal adlı kullanıcıya sağ tıklayıp properties’ine  girelim.


image032


 


25.İlk önce kullanıcının özelliklerinde Attribute Editor bölümüne geliyoruz. Daha sonra filter den  Constructed seçeneğini aktif ediyoruz. Son olarakta msDS-ResultantPSO seçeneğini işaretliyoruz. Ayarlarımızın uygulandığını görüyoruz.


image033


 


image034


Bu ilk makalem umarım yararlı olmuşumdur ve doğru bir şekilde anlatmışımdır.

İlgili Makaleler

Bir Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu