Image One

Fine-Grained Password Policies

Image OneNhư các bạn đã biết trong Windows 2000 hay Windows Server 2003, khi các bạn dùng Password Policy hay Account Lockout Policy thì tất cả các user trong toàn hệ thống domain đều bị ảnh hưởng. Giả sử công ty bạn có nhu cầu muốn áp password policy chỉ cho riêng 1 user hay 1 group nào đó, thì bạn sẽ làm như thế nào. Tính năng Fine-Grained Password Policies trong Windows Server 2008 sẽ gúp bạn làm điều đó. Trong bài viết này, tôi sẽ giới thiệu với các bạn cách “Cấu hình Fine-Grained Password Policies trên Windows Server 2008

 

Bài lab bao gồm các bước:
1. Chính Password đơn giản
2. Tạo user và group
3. Tạo 1 PSO
4. Áp PSO lên user hoặc group

 

II) Chuẩn bị:
- Một máy Windows Server 2008 đã nâng cấp Domain Controller

III) Thực hiện:

1) Chỉnh Password đơn giản và Account Logon locally:
- Vào Start–>Program–>Administrative Tools, chọn Server Manager

- Sau đó, bạn click phải Default Domain Policy, chọn Edit

- Mở Computer ConfigurationWindows SettingsSecurity SettingsAccount PoliciesPassword Policies

- Bạn sửa lại 2 giá trị sau đây:
+ Minimum Password Length: 0

+ Password must meet complexity requirements: Disabled 

- Tiếp theo, bạn click phải Default Domain Controller Policy, chọn Edit

- Ở phần User Right Assignment, bạn chọn Allow Logon Locally và add thêm group Users

- Cuối cùng, bạn vào Start–>Run, gõ: gpupdate /force

2) Tạo 2 user và group Manager, Sales

B1: Vào Server Manager, RolesActive Directory Domain Services Active Directory Users and Computers, click phải Users, chọn New–>User

- Lần lượt điền các thông tin về user. Ví dụ: user HOANG TRAN THUY,  password:123

- Tương tự như vậy, bạn tạo thêm 2 user TRONG MANH NGUYEN, HIEU DAO DUY

B2: Tạo 2 group Manager và Sales

- Click phải Users, chọn New–>Group

- Đặt tên group là Manager và chọn Global Security Group
- Click phải group Manager, chọn Properties

- Chọn thẻ Members, add user HOANG TRAN THUY vào group Manager


 
- Tương tự, bạn tạo group Sales, và add user TRONG MANH NGUYEN va HIEU DAO DUY vào group Sales

3) Tạo PSO (Password Settings Object)

PSO chứa tất cả các thuộc tính về Password Policy và sau đó bạn có thể dùng file này để link đến 1 user hoặc 1 group chỉ định. Bạn có thể tạo nhiều file PSO. 1 file PSO bao gồm những thông tin sau :

Enforce password history (msDS-PasswordHistoryLength) : số lần lưu giữ password
Maximum password age (msDS-MaximumPasswordAge): tuổi thọ tối đa của password.
Minimum password age (msDS-MinimumPasswordAge): tuổi thọ tối thiểu của password.
Minimum password length (msDS-MinimumPasswordLength): Chiều dài tối thiếu của password
Passwords must meet complexity requirements (msDS-Password-ComplexityEnabled): Password phức tạp
Store passwords using reversible encryption (msDS-PasswordReversibleEncryptionEnabled): Password mã hóa
Ngoài ra, PSO còn có những qui định về khóa tài khoản:
Account lockout duration (msDS-LockoutDuration): tài khoản sẽ bị khóa trong thời gian bao lâu
Account lockout threshold (msDS-LockoutThreshold): tài khoản sẽ bị khóa sau ? lần đăng nhập bất hợp pháp
Reset account lockout counter after (msDS-LockoutObservationWindow): Reset lại bộ đếm của tài khoản bị khóa.

Nãy giờ chúng ta đã đi qua các khái niệm về PSO rồi, nhóc sẽ làm một ví dụ cho các bạn thấy

Giả sử, bạn muốn các user trong group Sep phải đặt password đơn giản, chiều dài tối thiểu của password là 5 ký ‎tự, user sẽ bị khóa tài khoản sau 3 lần đăng nhập bất hợp pháp, tài khoản sẽ bị khóa trong vòng 30 phút

Có 2 cách để tạo PSO

C1: Bạn dùng ADSI
B1: Bạn vào StartRun, gõ adsiedit.msc

B2: Click phải vào ADSI Edit, chọn Connect to…

+ Ở khung Name, bạn nhập vào tên domain của minh. Ví dụ: NHATNGHE.LOCAL

B3: Bạn mở lần lượt Domain msopenlab.comCN=SYSTEM, click phải CN=Password Settings Container, chọn New–>Object

- Ở khung CN, bạn đặt tên để gợi nhớ đến Policy. Ví dụ: Manager’s Policy

Nó sẽ có các thuộc tính sau đây:

1. msDS-PasswordSettingsPrecedence: Độ ưu tiên của PSO. Giả sử bạn có 2 PSO cùng áp lên 1 user, PSO nào có precedence nhỏ hơn sẽ được ưu tiên. Ở đây nhóc đặt là 1

2. msDS-PasswordReversibleEncryptionEnabled: Password mã hóa. Ở khung Value, bạn có thể đặt giá trị là FALSE(không mã hóa) hoặc TRUE (mã hóa). Nên đặt là FALSE

3. msDS-PasswordHistoryLength: Số lần lưu giữ password. Ở khung Value, bạn có thể đặt giá trị từ 0 đến 1024.

4. msDS-PasswordComplexityEnabled: Password phức tạp. Ở khung Value, bạn có thể đặt giá trị là FALSE (không) hoặc TRUE (có).

5. msDS-MinimumPasswordLength: Chiều dài tối thiểu của password. Ở khung Value, bạn có thể đặt giá trị từ 0 đến 255 (hix, ai mà đặt cái ô này là 255 chắc bị đuổi việc sớm quá)

6. msDS-MinimumPasswordAge: Tuổi thọ tối thiểu của password. Ở khung Value, bạn có 2 tùy chọn để nhập
* (None): không có
* Có dạng 00:00:00:00(ngày:giờ: phút: giây). Ví dụ bạn nhập 3:00:00:00 (3 ngày), thì sang ngày thứ 4, nó sẽ bắt bạn change password.

7. msDS-MaximumPasswordAge: Tuổi thọ tối đa của password. Ở khung Value, bạn cũng có 2 tùy chọn để nhập như (6)

8. msDS-LockoutThreshold: Tài khoản sẽ bị khóa sau ? lần đăng nhập bất hợp pháp. Ở khung Value bạn có thể đặt giá trị từ 0 đến 65535

9. msDS-LockoutObservationWindow: Reset lại bộ đếm của tài khoản bị khóa. Ở khung Value, bạn cũng có 2 tùy chọn để nhập
a. (None): không có
b. Có dạng 00:00:00:00(ngày:giờ:phút:giây)

10. msDS-LockoutDuration: Khóa tài khoản trong bao lâu. Ở khung Value, bạn cũng có 2 tùy chọn để nhập
a. (Never): không có
b. Có dạng 00:00:00:00(ngày:giờ: phút: giây).

- Cuối cùng, bạn nhấn More Attributes. Ở khung Select a property to view, bạn chọn : msDS-PSOAppliesTo

- Ở khung Edit, bạn nhập vào : CN=MANAGER,CN=USERS,DC=MVPPARTNER,DC=COM(ta có thể hiểu như sau GROUP MANAGER nằm trong Users trong domain msopenlab.com). Nhấn Add

-Tương tự, bạn thử tạo 1 PSO cho group Nhanvien, với yêu cầu là bắt buộc user phải nhập password phức tạp, chiều dài tối thiểu là 8 kí tự, log on sai 4 lần sẽ bị khóa tài khoản, thời gian khóa là 30 phút.

C2: Ngoài cách tạo PSO bằng ADSI, bạn có thể tạo PSO bằng dòng lệnh.
B1: Bạn mở notepad lên, đánh vào nội dung bên dưới(sửa lại 1 vài chỗ cho phù hợp với yêu cầu của công ty bạn), lưu lại với tên pso_sep.ldf

dn: CN=Manager’s Policy, CN=Password Settings Container,CN=System,DC=MVPPARTNER,DC=COM
changetype: add
objectClass: msDS-PasswordSettings
msDS-MaximumPasswordAge:-1728000000000
msDS-MinimumPasswordAge:-864000000000
msDS-MinimumPasswordLength:5
msDS-PasswordHistoryLength:0
msDS-PasswordComplexityEnabled:FALSE
msDS-PasswordReversibleEncryptionEnabled:FALSE
msDS-LockoutObservationWindow:-18000000000
msDS-LockoutDuration:-18000000000
msDS-LockoutThreshold:3
msDS-PasswordSettingsPrecedence:1
msDS-PSOAppliesTo:CN=MANAGER,CN=Users,DC=MVPPARTNER, DC=COM

B2: Vào StartRun, gõ CMD, gõ lệnh ldifde –i –f pso_sep.ldf


4) Test thử

Hehe, làm từ đầu đến cuối, thích nhất là cái phần này.
- Đầu tiên bạn mở Server Manager lên, chọn Active Directory Users and Computers, chọn Users, sau đó bạn chọn View–>Advanced Feature

- Click phải group Manager, chọn Attribute Editor, tìm đến dòng distinguisedName, bạn sẽ thấy là nó đã được add vào đây

- Bây giờ chúng ta thử reset password cho user HOANG THUY TRAN xem nào (HOANG THUY TRAN thuộc group Manager: password đơn giản, chiều dài tối thiểu phải 5 ký tự ). Click phải User HOANG THUY TRAN, chọn Reset Password, bạn gõ vào: 456, màn hình báo lỗi sẽ hiện ra, ((tại vì hồi nãy bạn set pass tối thiểu phải là 5 ký tự)

 

- Sau đó, bạn thử set lại password là “45678″ , màn hình thông báo change pass thành công

Comments

comments

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>