|
||||||||
|
||||||||
|
|
Công Cụ | Xếp Bài |
06-08-2009, 11:53 PM | #1 |
Guest
Trả Lời: n/a
|
Fine-Grained Password Policies In Windows Server 2008
Fine-Grained Password Policies In Windows Server 2008 I) Giới Thiệu: Như các bạn đã biết trong Windows 2000 hay Windows Server 2003, khi các bạn dùng Password Policy hay Account Lockout Policy thì tất cả các user trong toàn hệ thống domain đều bị ảnh hưởng. Giả sử công ty bạn có nhu cầu muốn áp password policy chỉ cho riêng 1 user hay 1 group nào đó, thì bạn sẽ làm như thế nào. Tính năng Fine-Grained Password Policies trong Windows Server 2008 sẽ gúp bạn làm điều đó. Hôm nay, nhóc sẽ hướng dẫn các bạn từng bước để làm Fine-Grained Password Policies. Bài lab gồm những bước sau đây: 1. Chính Password đơn giản 2. Tạo user và group 3. Tạo 1 PSO 4. Áp PSO lên user hoặc group II) Chuẩn bị: - Một máy Windows Server 2008 đã nâng cấp Domain Controller III) Thực hiện: 1) Chỉnh Password đơn giản và Account Logon locally: - Vào Start-->Program-->Administrative Tools, chọn Server Manager - Sau đó, bạn click phải Default Domain Policy, chọn Edit - Mở Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policies - Bạn sửa lại 2 giá trị sau đây: + Minimum Password Length: 0 + Password must meet complexity requirements: Disabled - Tiếp theo, bạn click phải Default Domain Controller Policy, chọn Edit - Ở phần User Right Assignment, bạn chọn Allow Logon Locally và add thêm group Users - Cuối cùng, bạn vào Start-->Run, gõ: gpupdate /force 2) Tạo 2 user và group Manager, Sales B1: Vào Server Manager, Roles\Active Directory Domain Services\ Active Directory Users and Computers, click phải Users, chọn New-->User - Lần lượt điền các thông tin về user. Ví dụ: user HOANG TRAN THUY, password:123 - Tương tự như vậy, bạn tạo thêm 2 user TRONG MANH NGUYEN, HIEU DAO DUY B2: Tạo 2 group Manager và Sales - Click phải Users, chọn New-->Group - Đặt tên group là Manager và chọn Global Security Group - Click phải group Manager, chọn Properties - Chọn thẻ Members, add user HOANG TRAN THUY vào group Manager - Tương tự, bạn tạo group Sales, và add user TRONG MANH NGUYEN va HIEU DAO DUY vào group Sales 3) Tạo PSO (Password Settings Object) PSO chứa tất cả các thuộc tính về Password Policy và sau đó bạn có thể dùng file này để link đến 1 user hoặc 1 group chỉ định. Bạn có thể tạo nhiều file PSO. 1 file PSO bao gồm những thông tin sau : • Enforce password history (msDS-PasswordHistoryLength) : số lần lưu giữ password • Maximum password age (msDS-MaximumPasswordAge): tuổi thọ tối đa của password. • Minimum password age (msDS-MinimumPasswordAge): tuổi thọ tối thiểu của password. • Minimum password length (msDS-MinimumPasswordLength): Chiều dài tối thiếu của password • Passwords must meet complexity requirements (msDS-Password-ComplexityEnabled): Password phức tạp • Store passwords using reversible encryption (msDS-PasswordReversibleEncryptionEnabled): Password mã hóa Ngoài ra, PSO còn có những qui định về khóa tài khoản: • Account lockout duration (msDS-LockoutDuration): tài khoản sẽ bị khóa trong thời gian bao lâu • Account lockout threshold (msDS-LockoutThreshold): tài khoản sẽ bị khóa sau ? lần đăng nhập bất hợp pháp • Reset account lockout counter after (msDS-LockoutObservationWindow): Reset lại bộ đếm của tài khoản bị khóa. Nãy giờ chúng ta đã đi qua các khái niệm về PSO rồi, nhóc sẽ làm một ví dụ cho các bạn thấy Giả sử, bạn muốn các user trong group Sep phải đặt password đơn giản, chiều dài tối thiểu của password là 5 ký tự, user sẽ bị khóa tài khoản sau 3 lần đăng nhập bất hợp pháp, tài khoản sẽ bị khóa trong vòng 30 phút Có 2 cách để tạo PSO C1: Bạn dùng ADSI B1: Bạn vào Start\Run, gõ adsiedit.msc B2: Click phải vào ADSI Edit, chọn Connect to… + Ở khung Name, bạn nhập vào tên domain của minh. Ví dụ: NHATNGHE.LOCAL B3: Bạn mở lần lượt Domain msopenlab.com\CN=SYSTEM, click phải CN=Password Settings Container, chọn New-->Object - Ở khung CN, bạn đặt tên để gợi nhớ đến Policy. Ví dụ: Manager's Policy Nó sẽ có các thuộc tính sau đây: 1. msDS-PasswordSettingsPrecedence: Độ ưu tiên của PSO. Giả sử bạn có 2 PSO cùng áp lên 1 user, PSO nào có precedence nhỏ hơn sẽ được ưu tiên. Ở đây nhóc đặt là 1 2. msDS-PasswordReversibleEncryptionEnabled: Password mã hóa. Ở khung Value, bạn có thể đặt giá trị là FALSE(không mã hóa) hoặc TRUE (mã hóa). Nên đặt là FALSE 3. msDS-PasswordHistoryLength: Số lần lưu giữ password. Ở khung Value, bạn có thể đặt giá trị từ 0 đến 1024. 4. msDS-PasswordComplexityEnabled: Password phức tạp. Ở khung Value, bạn có thể đặt giá trị là FALSE (không) hoặc TRUE (có). 5. msDS-MinimumPasswordLength: Chiều dài tối thiểu của password. Ở khung Value, bạn có thể đặt giá trị từ 0 đến 255 (hix, ai mà đặt cái ô này là 255 chắc bị đuổi việc sớm quá) 6. msDS-MinimumPasswordAge: Tuổi thọ tối thiểu của password. Ở khung Value, bạn có 2 tùy chọn để nhập * (None): không có * Có dạng 00:00:00:00(ngày:giờ: phút: giây). Ví dụ bạn nhập 3:00:00:00 (3 ngày), thì sang ngày thứ 4, nó sẽ bắt bạn change password. 7. msDS-MaximumPasswordAge: Tuổi thọ tối đa của password. Ở khung Value, bạn cũng có 2 tùy chọn để nhập như (6) 8. msDS-LockoutThreshold: Tài khoản sẽ bị khóa sau ? lần đăng nhập bất hợp pháp. Ở khung Value bạn có thể đặt giá trị từ 0 đến 65535 9. msDS-LockoutObservationWindow: Reset lại bộ đếm của tài khoản bị khóa. Ở khung Value, bạn cũng có 2 tùy chọn để nhập a. (None): không có b. Có dạng 00:00:00:00(ngày:giờ:phút:giây) 10. msDS-LockoutDuration: Khóa tài khoản trong bao lâu. Ở khung Value, bạn cũng có 2 tùy chọn để nhập a. (Never): không có b. Có dạng 00:00:00:00(ngày:giờ: phút: giây). - Cuối cùng, bạn nhấn More Attributes. Ở khung Select a property to view, bạn chọn : msDS-PSOAppliesTo - Ở khung Edit, bạn nhập vào : CN=MANAGER,CN=USERS,DC=MVPPARTNER,DC=COM(ta có thể hiểu như sau GROUP MANAGER nằm trong Users trong domain msopenlab.com). Nhấn Add -Tương tự, bạn thử tạo 1 PSO cho group Nhanvien, với yêu cầu là bắt buộc user phải nhập password phức tạp, chiều dài tối thiểu là 8 kí tự, log on sai 4 lần sẽ bị khóa tài khoản, thời gian khóa là 30 phút. C2: Ngoài cách tạo PSO bằng ADSI, bạn có thể tạo PSO bằng dòng lệnh. B1: Bạn mở notepad lên, đánh vào nội dung bên dưới(sửa lại 1 vài chỗ cho phù hợp với yêu cầu của công ty bạn), lưu lại với tên pso_sep.ldf dn: CN=Manager's Policy, CN=Password Settings Container,CN=System,DC=MVPPARTNER,DC=COM changetype: add objectClass: msDS-PasswordSettings msDS-MaximumPasswordAge:-1728000000000 msDS-MinimumPasswordAge:-864000000000 msDS-MinimumPasswordLength:5 msDS-PasswordHistoryLength:0 msDS-PasswordComplexityEnabled:FALSE msDS-PasswordReversibleEncryptionEnabled:FALSE msDS-LockoutObservationWindow:-18000000000 msDS-LockoutDuration:-18000000000 msDS-LockoutThreshold:3 msDS-PasswordSettingsPrecedence:1 msDS-PSOAppliesTo:CN=MANAGER,CN=Users,DC=MVPPARTNER, DC=COM B2: Vào Start\Run, gõ CMD, gõ lệnh ldifde –i –f pso_sep.ldf 4) Test thử Hehe, làm từ đầu đến cuối, thích nhất là cái phần này. - Đầu tiên bạn mở Server Manager lên, chọn Active Directory Users and Computers, chọn Users, sau đó bạn chọn View-->Advanced Feature - Click phải group Manager, chọn Attribute Editor, tìm đến dòng distinguisedName, bạn sẽ thấy là nó đã được add vào đây - Bây giờ chúng ta thử reset password cho user HOANG THUY TRAN xem nào (HOANG THUY TRAN thuộc group Manager: password đơn giản, chiều dài tối thiểu phải 5 ký tự ). Click phải User HOANG THUY TRAN, chọn Reset Password, bạn gõ vào: 456, màn hình báo lỗi sẽ hiện ra, ((tại vì hồi nãy bạn set pass tối thiểu phải là 5 ký tự) - Sau đó, bạn thử set lại password là "45678" , màn hình thông báo change pass thành công Wow, vậy là chúng ta đã hoàn thành xong bài lab. Không những PSO áp dụng cho group mà nó còn áp dụng cho cả User mà bạn chỉ định nữa. Mình hy vọng bài lab này sẽ giúp bạn hiểu thêm về những tính năng mới của Windows Server 2008. Theo: Nguyễn Mạnh Trọng (Msopenlab) |
|
|