Forum

Active Directory Pa...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Active Directory Password Reset Policy Hakkında

4 Yazılar
2 Üyeler
0 Reactions
659 Görüntüleme
(@cemshn)
Gönderiler: 18
Eminent Member
Konu başlatıcı
 

Merhaba,

Domain ortamında password policy uyguluyoruz ve başarılı çalışıyor.

Benim sorum şu: active directory users and computers üzerinden kullanıcıların şifresini resetleme yetkisi olan veya yeni kullanıcı oluşturma yetkisi olan biri şifre değiştirdiğinde aşağıdaki kurallara tabi olsun istiyorum,

* En az ... karakter olsun

* Karmaşık olsun

* Minimum password yaşı 1 olsun

* en son 5 şifreyi kullanamasın

 

İlk 2 madde geçerli oluyor. Karakter sınırını düşürdüğümde veya yükselttiğimde etkisini görüyorum.

Ancak Son 2 madde "Minimum password yaşı 1 olsun", "en son 5 şifreyi kullanamasın" geçerli olmuyor.

 

Bu konuda kontrol edilmesi gereken biryer var mıdır? Veya Password Reset yetkisi olan kullanıcılara bu tarz bir policy uygulamasını en doğru nasıl yapabilirim?

 
Gönderildi : 08/09/2023 15:19

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Böyle bir ayar yok, yani şifre politikası tektir, hakan şifre değiştirirse şöyle olsun diyemezsin.

İstisnalar resetleyene göre değil ilgili hesaba göre atanır.

Örnek depo ekibi mavi yakalıdır çok teknoloji bilmiyodur onlara kompleks şifre istemezken beyaz yakada istiyorsun çözüm FGPP

Fine Grained Password Policies FGPP Nedir? - ÇözümPark Sözlük (cozumpark.com)

mavileri bir gruba alırsın onlara ayrı PP beyazları ayrı bir gruba alırsın onlara ayrı PP tanımlarsın.

Veya 3 parti ürünler var dll dosyasını değiştirerek misal şirket ismi geçmesin şifrelerde gibi daha detaylı filtreler yapabiliyorsun bu konuda forumda onlarca kez paylaşım yaptık lütfen o program ne deme arama yaparsan bulursun.

Ama Ahmet şifre resetlerse 7 karakterli şifre versin, Mehmet şifre resetlerken 10 versin darılma ama zaten saçma 🙂 şifre politikası resetleyene göre değil resetlenen user hesabına göre yapılır.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 08/09/2023 16:57

(@cemshn)
Gönderiler: 18
Eminent Member
Konu başlatıcı
 

Hocam Selamlar,

Muhtemelen yapmak istediğimi anlatamadım.

Fine Grained Password Policies kullanıyoruz.

 

Benim sorunum şu,

Örnek senaryo;

*Ahmet bir helpdesk çalışanı

*Mehmet Muhasebe uzmanı

 

Mehmet Password Policy 'de belirtilen maksimum password kullanım süresi dolmadan 7 gün önce bilgilendirme maili aldı. Windows 'dan ctrl+alt+delete yapıp şifresini değiştirmek istedi.

Mehmet aşağıdaki policye göre şifresini belirliyor,

*En az 10 karakter olmak zorunda

*Karmaşık olmak zorunda

*Kullandığı son 5 passwordü şifre olarak belirleyemez

* Minimum 1 gün geçerli

*Maksimum 90 gün geçerli

Mehmet yukarıdaki policy dışında şifre oluşturamaz. Burada bir sorun yok

 

Ancak Helpdesk personeli Ahmet AD Users and Computers Tool 'dan bir kullanıcının şifresini resetlemek zorunda kaldığında aşağıdaki durum oluşuyor

* Şifreyi en az 10 karakter belirlemek zorunda kalıyor

*Karmaşık şifre belirlemek zorunda kalıyor

*Kullandığı son 5 passwordü şifre olarak belirleyebiliyor.

*Minimum password yaşı 1 olmuyor.

Yani policydeki son 2 kural AD Users and Computers Tool 'da geçerli olmuyor. Ben geçerli olmasını istiyorum. Çünkü zaten password policyim 1 tane.

 

Kullanıcı Windows 'dan veya Exchange owa sayfasından şifre değişikliği yaparken uygulanan policy Helpdesk uzmanı AD Users and Computers Tool 'undan şifre resetlendiğinde bypass oluyor.

 

İnşallah doğru anlatabilmişimdir hocam

 

Saygılar

Sevgiler

Bu ileti 1 yıl önce 3 defa Cem Şahin tarafından düzenlendi
 
Gönderildi : 08/09/2023 17:16

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Konu biraz değişti ama aslında talebin yine benzer olduğu için yine olmaz diyorum 🙂

Temel olarak verilen şifrenin uzunluğu ve kompleks olması ok, bu kısım aynı ancak bir kullanıcının şifresini değiştirmesi ile şifre resetleme sonuçta aynı gibi görünse de aslında izin anlamında aynı şeyler değildir. Eğer bu 1 gün olayı çalışsaydı admin bu durumda örnek bir şifre resetledi ama şifreyi yanlış atadı veya bir şifre resetledi ancak hata yaptığını fark etti veya şifre başka bir nedenden ötürü ikinci kez resetlemek istedi, ne olacak? 24 saat bekleyecek mi? Tabi ki beklemeyecek çünkü bu bir "administrative privilege" dır, yani yetki kullanımıdır. Diğer konu ise yine aynı nedenden yetki kullanımı ile bunu yapmasını sağlıyor, örnek benim bir hesabım var, servis hesabı, şifre değiştirme zamanı geliyor, MSA kullanıyorsan ok bu doğrusu ama biliyorsun hayat her zaman böyle değil veya basit bir serivs hesabı olabilir ondan msa ayarlamadın, şifrenin süresi doldu, ona bağlı bir sürü servis var, şifreyi aynı yapmak için ne yapıyorsun? Resetliyorsun, bu gpo ya takılsa ne olacak? Yeni şifre vereceksin, bu durumda bu servis hesabının kullanıldığı her yere gidip yeni şifre girmen lazım.

Özetle aslında yukarıdaki gibi aynı noktadasın, böyle bir şey olmaz. Yapılan gayet normal ve hatta bu şekilde olmadığı durumda ortalık yangın yerine döner.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 08/09/2023 17:26

Paylaş: