Fine-Grained Password Policy ?

หากจะว่าด้วย Password Manage ใน Active Directory คงนี้หนีไม่พ้นคือ GPO หลายท่านคงรู้จักกันดี
แล้ว Fine-Grained Password คืออะไร ?

อธิบายง่ายๆดังนี้
GPO ที่เรารู้จักกันดีโดยการกำหนดรหัสผ่านนั้นต้องกำหนดในระดับ OU ( ไม่สามารถกำหนดในระดับ Group ได้ )
แต่
Fine-Grained Password คือกำหนดรหัสผ่านในระดับ User หรือ Group ( ไม่สามารถกำหนดในระดับ OU ได้ )

เรามาเริ่มลุยกันเลย

ในหน้าต่าง Server Manager เลือกเมนู Tools > Active Directory Administrative Center
ปรากฏเครื่องมือ Active Directory Administrative Center จากนั้นเลือก Manage > Add Navigation Nodes
กลับไปที่เครื่องมือ Active Directory Administrative Center ให้เลือกโดเมน (ชื่อโดเมน) – System – Password
ที่กรอบ Tasks เลือกคำสั่ง New / Password – Settings
แสดงหน้า Create Password Settings ให้ตั้งชื่อนโยบายการกำหนดรหัสผ่านนี้และกำหนดค่านโยบายตามต้องการ จากนั้นคลิกปุ่ม OK

Password Setting Object

Name : กำหนดชื่อของ Password Setting Object : String (สตริง)
Precedence : ลำดับความสำคัญ : Integer (เลขจำนวนเต็ม)
Enforce minimum password length : ความยาวน้อยที่สุดของรหัสผ่าน : Integer (เลขจำนวนเต็ม)
Enforce password history : กำหนดไม่ให้รหัสผ่านใหม่ซ้ำกับรหัสผ่านเก่า โดยจะจำรหัสผ่านเก่าไว้ตามจำนวนที่ให้กำหนด : Integer (เลขจำนวนเต็ม) (ค่าดีฟอลต์ 24 ครั้ง)
Password must meet complexity requirements : รหัสผ่านต้องมีความซับซ้อน คือประกอบด้วยตัวเลข (0 – 9) ตัวอักษรพิมพ์ใหญ่ (A – Z) และพิมพ์เล็ก (a – z) รวมทั้งไม่ให้เหมือนกับชื่อแอคเคานต์ : Boolean (TRUE)
Store password using reversible encryption : กำหนดให้ระบบปฏิบัติการเก็บรหัสผ่านโดยเข้ารหัสแบบย้อนกลับ (ค่าดีฟอลต์ คือ Disabled) : Boolean (FALSE)
Protect from accidental deletion : ป้องกันการลบโดยไม่ตั้งใจ : Boolean (TRUE)
Enforce minimum password age : อายุต่ำสุดของรหัสผ่านก่อนจะถูกบังคับให้เปลี่ยนรหัสผ่านครั้งต่อไป : Integer (เลขจำนวนเต็ม) (ค่าดีฟอลต์ 2 วัน)
Enforce maximum password age : อายุสูงสุดของรหัสผ่านก่อนจะถูกบังคับให้เปลี่ยนรหัสผ่านใหม่ : Integer (เลขจำนวนเต็ม) (ค่าดีฟอลต์ 30 วัน)

มุมมองในรูปแบบ ADSI Edit

เมื่อสร้าง Object ตาม Policy เรียบร้อยแล้ว สามารถ Assign Groups or User เข้าไปยัง Policy ที่เตรียมไว้
Groups ที่สามารถใช้งานคือ Security Group ตามรูปนี้ ให้สร้างบน Active Directory User and Computer

เริ่ม Assign Group เข้าไปที่ Policy ที่สร้างไว้

ทดสอบโดยการเข้าใช้งาน Computer ที่ Join Domain และ เข้าด้วย User ที่อยู่ใน Group
หลังจากนั้น ลอง Reset Password

Ref : https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc770394(v=ws.10)

Step by step
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc770842(v=ws.10)

Comment

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.