Xoş gördük. Məqaləmizin bu hissəsində Active Directory üzərində istifadəçi və qruplara Fine Grained Password Policy-nin necə tətbiq olunduğu haqqında məlumat verməyə çalışacağam. Ilk olaraq Fine Grained Password Policy haqqında sizləri qısa olaraq məlumatlandırmağa çalışım. Fine Grained Password Policy Windows Server 2008 ilə gələn yeni bir funksiya olub Active Directory üzərindəki qrup və istifadəçilərə fərqli password policy-ləri tətbiq etmək imkanı yaradır. Server 2003 vasitəsilə bu imkan məhdud idi. Misal üçün İT Mühəndislər üçün ayrı şifrələmə hüquqları təyin etməyə çalışdıqda ancaq bunu default domain policy vasitəsilə həyata keçrirdik ki, buda bütün domain istifadəçilərinə təsir edirdi. Bir çox şirkətlərdə aşağıdakı şəkil tətbiq olunur. Bu metod Microsoft tərəfindən dəstəklənmədiyi halda bir çoxumuz istifadəçilərin suallarından qurtulmaq üçün Default Domain Policy üzərində dəyişiklik etmək məcburiyyətində qalırdıq. Artıq Server 2008 ilə birlikdə Fine Grained Password Policy vasitəsli istədiyimiz istifadəçi və qruplara uyğun password policy və Accunt Lockout Policy tətbiq etmək imkanımız olacaq.

Enforce password history – Ən son istifadə olunan şifrələrin təkrar daxil olunmasına müəyyən həddə qədər qadağa qoymaq.

Maximum password age – Şifrənin maksimum istifadə olunma müddəti.

Minimum password age – Şifrənin minimum istifadə olunma müddəti.

Minimum password length – Şifrənin minimum uzunluğunun nə qədər olacağı.

Password must meet complexity requirements – Şifrənin qarışıq şəkildə olması (Pas$w0rd).

Store passwords using reversible encryption – Şifrələrin düz mətin yoxsa şifrələnmiş şəkildə saxlanılacağı. Disable olması məsləhətə uyğundur.

Account lockout duration – İstifadəçinin müəyyən sayda səhv daxil etdiyi şifrədən sonra hesabın bağlı (Lock) qalacağı müddət (Əngəllənmiş hesabın nə qədər bağlı qalacağı vaxt. Mis: 10 dəqiqə).

Account lockout threshold – İstifadəçinin müəyyən sayda səhv daxil etdiyi şifrədən sonra hesabın bağlanması (Misal: 3 dəfə daxil etdiyi şifrə səhv olarsa, hesabla sistemə daxil olmaq əngəllənmiş olacaq)

Reset account lockout counter after – İstifadəçi tərəfindən daxil olunacaq səhv şifrə sayının sıfırlanacağı müddət. Yəni səhv daxil olunmuş şifrələrdən sonra hesabın aktivləşməsi üçün keçən zaman.

Qeyd: Fine Grained Password Policy tətbiq olunması üçün Domain Functional Level minimum Server 2008 olmalıdır.

1. Fine Grained Password Policy tətbiq etmək üçün. ADSI Edit açılır.

2. Action – Connect to – OK (Heç bir dəyişiklik olunmur)

3. Default naming context – DC=Yusifbeyli, DC=com – CN=System – CN = Password Settings Container bölməsindən New – Object deyərək davam edirik.

4. msDS-PasswordSettings bölməsini görürürksə doğru yerdəyik. Next

5. Bir ad daxil edərək davam edirik.

6. MsDS-PasswordSettingsPrecedence – sıfırdan böyük olmaq şərtilə bir rəqəm daxil edirik. Bu dəyər sizin yartadığınız hansı PSP-nin üstünlüyünü təyin edir. İki PSP varsa ən kiçik rəqəmli PSP daha üstün olacaq.

7. FALSE deyərək davam edirik.

8. İstifadəçinin öncə istifadə etdyi şifrələri təkrar girməsinə müəyyən həddə qədər qadağa qoymaq.

9. İstifadəçinin qarışıq şifrə daxil etməsini məcbur edirik.

10. İstifadəçi şifrəsinin minimum uzunluğu.

11. Şifrənin minimum istifadə müddəti. (00:00:00:00 = gün:saat:dəqiqə:saniyə)

12. Şifrənin maksimum istifadə müddəti.

13. Səhv şifrə daxil olunan zaman. Neçə səhv addımdan sonra hesabın bağlanması (Lock).

14. Reset account lockout counter after = msDS-LockoutObservationWindow. msDS-LockoutDuration bölməsində daxil etdiyimiz dəyərlə eyni və yaxud ondan az olmalıdır.

15. Səhv daxil olunmuş şifrələrdən sonra hesabın nə qədər bağlı qalacağını təyin edir.

16. Finish.

17. Yaratdığımız yeni Password Policy üzərindən Properties bölməsinə daxil oluruq.

18. msDS-PSOAppliesTo bölməsini seçdikdən sonra Edit deyərək davam edirik.

19. Add Windows Account bölməsindən öncədən yartadığım Global Security qrupu seçərək OK deyərək əməliyyatları tamamlamış oluruq.

20. Apply -OK

21. İndi isə test etmək üçün İT Dep qrupunun üzvü Elgüc adlı istifadəçinin şifrəsinin sıfırlamaq istədiyimdə bu pəncərə ilə qarşılaşıram. Göründüyü kimi Password Policy artıq aktivdir. Tələb edir ki Password Policy vasitəsilə icazə verilən hüquqlar çərçivəsində şifrə daxil edim. Misal üçün: Q&2risiq$ifre daxil etdikdə qəbul edəcəyini görəcəksiniz.

21. Gələcəkdə bu Password Policy altına yeni qruplar və yaxud istifadəçilər əlavə etsəniz. Acive Directory Users and Computer – View – Advanced – Features bölməsini aktivləşdirdikdən sonra.

22. System – Password Settings Container altından yartdığınız Password Policy-lərdə dəyişikliklər edə bilərsiniz.

Windows Server 2008 ilə gələn yeniliklərdən birini də sizlərə təqdim etmiş olduq. Başqa bir məqalədə görüşmək arzusu ilə.

Elgüc Yusifbəyli

______________

MCT

Müəllif hüquqları qorunur