[Windows Server 2008] - Fine-Grained Password Policies - AdminTalk

shomenuchi · 09:29 AM

Fine-Grained Password Policies In Windows Server 2008

I) Giới Thiệu:

Như các bạn đã biết trong Windows 2000 hay Windows Server 2003, khi các bạn dùng Password Policy hay Account Lockout Policy thì tất cả các user trong toàn hệ thống domain đều bị ảnh hưởng. Giả sử công ty bạn có nhu cầu muốn áp password policy chỉ cho riêng 1 user hay 1 group nào đó, thì bạn sẽ làm như thế nào. Tính năng Fine-Grained Password Policies trong Windows Server 2008 sẽ gúp bạn làm điều đó. Hôm nay, nhóc sẽ hướng dẫn các bạn từng bước để làm Fine-Grained Password Policies. Bài lab gồm những bước sau đây:
- Chính Password đơn giản
- Tạo user và group
- Tạo 1 PSO
- Áp PSO lên user hoặc group (không áp PSO trực tiếp lên OU)

II) Chuẩn bị:
- 1 máy Windows Server 2008 đã nâng cấp lên Domain (mô hình bài lab là NHATNGHE.LOCAL)

III) Thực hiện:
1) Chỉnh Password đơn giản và Account Logon locally:
- Vào Start-->Program-->Administrative Tools, chọn Server Manager

- Sau đó, bạn click phải Default Domain Policy, chọn Edit

- Mở Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policies

- Bạn sửa lại 2 giá trị sau đây:
+ Minimum Password Length: 0

+ Password must meet complexity requirements: Disabled

- Tiếp theo, bạn click phải Default Domain Controller Policy, chọn Edit

- Ở phần User Right Assignment, bạn chọn Allow Logon Locally và add thêm group Users

- Cuối cùng, bạn vào Start-->Run, gõ: gpupdate /force

2) Tạo 2 user tí, tèo và 2 group Sep, Nhanvien

B1: Vào Server Manager, Roles\Active Directory Domain Services\ Active Directory Users and Computers, click phải Users, chọn New-->User

- Lần lượt điền các thông tin về user. Ví dụ: user Ty, password:123

- Tương tự như vậy, bạn tạo thêm user Tèo

B2: Tạo 2 group Sep và Nhanvien
- Click phải Users, chọn New-->Group

- Đặt tên group là SEP và chọn Global Security Group
- Click phải group SEP, chọn Properties

- Chọn thẻ Members, add user Teo vào group Sep

- Tương tự, bạn tạo group Nhanvien, và add user Ty vào group Nhanvien

Theo bài đăng trên nhatnghe.com

Bài viết cùng chủ đề:

shomenuchi

3) Tạo PSO (Password Settings Object)

PSO chứa tất cả các thuộc tính về Password Policy và sau đó bạn có thể dùng file này để link đến 1 user hoặc 1 group chỉ định. Bạn có thể tạo nhiều file PSO. 1 file PSO bao gồm những thông tin sau :

• Enforce password history (msDS-PasswordHistoryLength) : số lần lưu giữ password
• Maximum password age (msDS-MaximumPasswordAge): tuổi thọ tối đa của password.
• Minimum password age (msDS-MinimumPasswordAge): tuổi thọ tối thiểu của password.
• Minimum password length (msDS-MinimumPasswordLength): Chiều dài tối thiếu của password
• Passwords must meet complexity requirements (msDS-Password-ComplexityEnabled): Password phức tạp
• Store passwords using reversible encryption (msDS-PasswordReversibleEncryptionEnabled): Password mã hóa
Ngoài ra, PSO còn có những qui định về khóa tài khoản:
• Account lockout duration (msDS-LockoutDuration): tài khoản sẽ bị khóa trong thời gian bao lâu
• Account lockout threshold (msDS-LockoutThreshold): tài khoản sẽ bị khóa sau ? lần đăng nhập bất hợp pháp
• Reset account lockout counter after (msDS-LockoutObservationWindow): Reset lại bộ đếm của tài khoản bị khóa.

Nãy giờ chúng ta đã đi qua các khái niệm về PSO rồi, nhóc sẽ làm một ví dụ cho các bạn thấy

Giả sử, bạn muốn các user trong group Sep phải đặt password đơn giản, chiều dài tối thiểu của password là 5 ký ‎tự, user sẽ bị khóa tài khoản sau 3 lần đăng nhập bất hợp pháp, tài khoản sẽ bị khóa trong vòng 30 phút

Có 2 cách để tạo PSO

C1: Bạn dùng ADSI
B1: Bạn vào Start\Run, gõ adsiedit.msc

B2: Click phải vào ADSI Edit, chọn Connect to…

+ Ở khung Name, bạn nhập vào tên domain của minh. Ví dụ: NHATNGHE.LOCAL

B3: Bạn mở lần lượt Domain NHATNGHE.LOCAL\CN=SYSTEM, click phải CN=Password Settings Container, chọn New-->Object

- Ở khung CN, bạn đặt tên để gợi nhớ đến Policy. Ví dụ: Policy cho SEP

Nó sẽ có các thuộc tính sau đây:

1. msDS-PasswordSettingsPrecedence: Độ ưu tiên của PSO. Giả sử bạn có 2 PSO cùng áp lên 1 user, PSO nào có precedence nhỏ hơn sẽ được ưu tiên. Ở đây nhóc đặt là 1

2. msDS-PasswordReversibleEncryptionEnabled: Password mã hóa. Ở khung Value, bạn có thể đặt giá trị là FALSE(không mã hóa) hoặc TRUE (mã hóa). Nên đặt là FALSE

3. msDS-PasswordHistoryLength: Số lần lưu giữ password. Ở khung Value, bạn có thể đặt giá trị từ 0 đến 1024.

4. msDS-PasswordComplexityEnabled: Password phức tạp. Ở khung Value, bạn có thể đặt giá trị là FALSE (không) hoặc TRUE (có).

5. msDS-MinimumPasswordLength: Chiều dài tối thiểu của password. Ở khung Value, bạn có thể đặt giá trị từ 0 đến 255 (hix, ai mà đặt cái ô này là 255 chắc bị đuổi việc sớm quá)

6. msDS-MinimumPasswordAge: Tuổi thọ tối thiểu của password. Ở khung Value, bạn có 2 tùy chọn để nhập
* (None): không có
* Có dạng 00:00:00:00(ngày:giờ: phút: giây). Ví dụ bạn nhập 3:00:00:00 (3 ngày), thì sang ngày thứ 4, nó sẽ bắt bạn change password.

7. msDS-MaximumPasswordAge: Tuổi thọ tối đa của password. Ở khung Value, bạn cũng có 2 tùy chọn để nhập như (6)

8. msDS-LockoutThreshold: Tài khoản sẽ bị khóa sau ? lần đăng nhập bất hợp pháp. Ở khung Value bạn có thể đặt giá trị từ 0 đến 65535

9. msDS-LockoutObservationWindow: Reset lại bộ đếm của tài khoản bị khóa. Ở khung Value, bạn cũng có 2 tùy chọn để nhập
a. (None): không có
b. Có dạng 00:00:00:00(ngày:giờ:phút:giây)

10. msDS-LockoutDuration: Khóa tài khoản trong bao lâu. Ở khung Value, bạn cũng có 2 tùy chọn để nhập
a. (Never): không có
b. Có dạng 00:00:00:00(ngày:giờ: phút: giây).

- Cuối cùng, bạn nhấn More Attributes. Ở khung Select a property to view, bạn chọn : msDS-PSOAppliesTo

- Ở khung Edit, bạn nhập vào : CN=Sep,CN=USERS,DC=NHATNGHE,DC=LOCAL(ta có thể hiểu như sau GROUP SEP nằm trong Users trong domain NHATNGHE.LOCAL). Nhấn Add

-Tương tự, bạn thử tạo 1 PSO cho group Nhanvien, với yêu cầu là bắt buộc user phải nhập password phức tạp, chiều dài tối thiểu là 8 kí tự, log on sai 4 lần sẽ bị khóa tài khoản, thời gian khóa là 30 phút.

C2: Ngoài cách tạo PSO bằng ADSI, bạn có thể tạo PSO bằng dòng lệnh.
B1: Bạn mở notepad lên, đánh vào nội dung bên dưới(sửa lại 1 vài chỗ cho phù hợp với yêu cầu của công ty bạn), lưu lại với tên pso_sep.ldf

dn: CN=Policy cho sep, CN=Password Settings Container,CN=System,DC=NHATNGHE,DC=LOCAL
changetype: add
objectClass: msDS-PasswordSettings
msDS-MaximumPasswordAge:-1728000000000
msDS-MinimumPasswordAge:-864000000000
msDS-MinimumPasswordLength:5
msDS-PasswordHistoryLength:0
msDS-PasswordComplexityEnabled:FALSE
msDS-PasswordReversibleEncryptionEnabled:FALSE
msDS-LockoutObservationWindow:-18000000000
msDS-LockoutDuration:-18000000000
msDS-LockoutThreshold:3
msDS-PasswordSettingsPrecedence:1
msDS-PSOAppliesTo:CN=SEP,CN=Users,DC=NHATNGHE, DC=LOCAL

B2: Vào Start\Run, gõ CMD, gõ lệnh ldifde –i –f pso_sep.ldf

Theo bài đăng trên nhatnghe.com

shomenuchi

4) Test thử
- Đầu tiên bạn mở Server Manager lên, chọn Active Directory Users and Computers, chọn Users, sau đó bạn chọn View-->Advanced Feature

- Click phải group Sep, chọn Attribute Editor, tìm đến dòng distinguisedName, bạn sẽ thấy là nó đã được add vào đây

- Bây giờ chúng ta thử reset password cho user Teo xem nào (Teo thuộc group Sep: password đơn giản, chiều dài tối thiểu phải 5 ký tự ). Click phải User Tèo, chọn Reset Password, bạn gõ vào: 456, màn hình báo lỗi sẽ hiện ra, ((tại vì hồi nãy bạn set pass tối thiểu phải là 5 ký tự)

- Sau đó, bạn thử set lại password là "45678" , màn hình thông báo change pass thành công

vậy là chúng ta đã hoàn thành xong bài lab. Không những PSO áp dụng cho group mà nó còn áp dụng cho cả User mà bạn chỉ định nữa.

Theo bài đăng trên nhatnghe.com