U ranijim verzijama aktivnog direktorijuma, Account polise koje su se odnosile na domen (Domain-based Account Policies) su morale da budu konfigurisane u Default Domain Policy GPO. Kao rezultat, svaki korisnik unutar domena je primoran da ima iste polise lozinki i polise za zaključavanje naloga. Na primer, možda ćemo imati grupu korisnika (kao što je na primer grupa Domain Administrators) koji zahtevaju striktnije polise za lozinke od normalnih domenskih korisnika. Ranije implementacije aktivnog direktorijuma nudile su veoma minimalne opcije za adresiranje zahteva ovog tipa.

Windows Server 2008 Active Directory Domain Services predstavljaju novo poboljšanje koje se naziva Fine-Grained Password Policies. Administratori mogu da koriste ovu karakteristiku kada žele da odrede različite polise za lozinke i polise za zaključavanje naloga različitim korisnicima ili sigurnosnim grupama unutar istog domena. Sada, administratori imaju mogućnost da primene striktne polise lozinki za osetljive sigurnosne grupe ili korisnike, a da pritom ne moraju da modifikuju lozinke ili postavke za zaključavanje naloga za standardne korisnike.


Planiranje Fine-Grained Password polisa

Da bismo implementirali Fine-grained polise lozinki, veoma je važno biti oprezan i imati na umu sledeće:

  • Fine-Grained Password polise mogu da se primene na User objekte i na globalne sigurnosne grupe.
    Fine-Grained Password polise ne možemo da primenjujemo na organizacione jedinice (OU). Ipak, možemo da kreiramo grobalnu sigurnosnu grupu koja ima isto ime i članstvo kao i organizaciona jedinica (ovo najčešće nazivamo Shadow Group). Nakon kreiranja globalne grupe možemo da dodeljujemo Fine-Grained polise lozinki sigurnosnoj grupi koju smo kreirali. 
    Ako imamo prilagođene filtere za lozinke koji su izgrađeni unutar domena, možemo da nastavimo da koristimo te filtere zajedno za dodatnom sigurnošću koju nam nude Fine-Grained polise lozinki.
    Domenski funkcionalni nivo mora biti podešen na Windows Server 2008, što znači da svi domenski kontroleri u domenu moraju da rade na Windows Server 2008 sistemu.


Zato je veoma važno napraviti dokumentovani plan koji odgovara na sledeća pitanja:

  • Koliko je potrebno različitih polisa lizinki? Ovo je važno za određivanje dodatnih sigurnosih grupa koje možda moraju da budu kreirane unutar našeg okruženja aktivnog direktorijuma kao i red prvenstva (Preference Order) kada su višestruke polise lozinki procenjivane za specifičnog korisnika.
  • Koja specifična lozinka i postavka za zaključavanje naloga je potrebna? Kao što smo konfigurisali polisu za lozinke, od nas će se tražiti da konfigurišemo različite atribute.
  • Koja sigurnosna grupa će biti povezana na novu polisu lozinki? Moraćemo da kreiramo specifične sigurnosne grupe koje sadrže korisnike koji zahtevaju jedinstvene polise lozinki.


Implementacija Fine-Grained Password polisa

Da bi podržao Fine-Grained Password Policy karakteristiku, Windows Server 2008 aktivni direktorijum uključuje dva dodatna tipa objekata (Object types):

  • Password Setting Container: Ovaj kontejner je kreiran po defoltu i možemo ga videti ispod System kontejnera u domenu. Koristi se za smeštanje Password Settings objekata koje smo kreirali i povezali na globalnu sigurnosnu grupu ili korisnika.
  • Password Settings Object: Password Setting Objects (PSOs) mogu da kreiraju članovi Domain Admins grupe i koristi se za definisanje specifičnih postavki za lozinke i postavki za zaključavanje naloga koje treba da povežu sa specifičnom sigurnosnom grupom ili korisnkom.


Možemo da koristimo Active Directory Services Interfaces Editor (ADSI Edit) koji predstavlja grafički Interface u kom ćemo kreirati PSOs. Takođe, možemo da koristimo Ldifde komandu kao način skriptovanja pomoću kog možemo da dodamo višestruke PSOs u Password Setting kontejner.

Kreiranje i konfiguracija PSO koristeći ADSI Edit:

1. Otvorimo ADSI Edit kroz MMC konzolu ili  Start>Admiinistrative tools> ADSI Edit  i konektujemo se na FQDN domen u kom želimo da kreiramo PSO (Slike 1 i 2). 

 

Slika 1

 


 

Slika 2

 

2. Pretražujemo do DC=<ime_domena>\CN=System\CN=Password Setting Container (Slika 3). 

 

Slika 3

 

3. Desni klik na CN=Password Settings Container, pa zatim New i kliknemo na Object (Slika 4). 

 

Slika 4

 

4. U Create Object boksu, moramo da proverimo da li je selektovan msDC- PasswordSettings i kliknemo na Next (Slika 5). 

 

Slika 5

 

5. Upišemo odgovarajuće iznose za svaki atribut.
6. Modifikujemo Properties klikom na More Attributes dugme.


Kako razumeti Resultant PSO za korisnika

Moguće je za korisnika i za sigurnosnu grupu da ima više od jednog PSO koji je povezan na njih. Ovo može da se dogodi ako je korisnik član više od jedne sigurnosne grupe, a svaka od tih grupa ima dodeljeni PSO ili ako User objekat ima više direktno dodeljenih PSOs. U ovom slučaju, veoma je važno shvatiti da samo jedan PSO može da se primenjuje preko efetivne polise lozinki. Kada je više PSOs dodeljeno korisniku ili grupi, atribut pod imenom msDS-     -PasswordSettingsPrecendence pomaže nam da odredimo rezultat PSO. PSO sa nižim iznosom ima prednost u odnosu na PSO koji poseduje viši iznos atributa.


Sledeći proces opisuje kako se određuje rezultat PSO-a kada su višestruki PSOs povezani na grupu ili korisnika:

  1. Svaki PSO koji je direktno povezan na korisnički objekat je Resultant PSO. Ako imamo više PSOs koji su direktno povezani na Objekat korisnika, onaj sa manjim iznosom za atribut msDSPasswordSettingsPrecendence će biti rezultat (Resultant) PSO.
  2. Ako nemamo nijedan PSO koji je direktno povezan na korisnika, PSOs za globalne sigurnosne grupe koje sadrže tog korisnika će biti proveravane. PSO koji ima manji iznos za atribut msDSPasswordSettingsPrecendence će biti rezultat (Resultant) PSO.
  3. Ako korisnik nema nijedan PSO koji je direktno ili indirektno (kroz članstvo u sigurnosnim grupama) povezan, primenjuje se Default Domain Policy.


Svi korisnici sadrže novi atribut pod imenom msDS-ResultantPSO. Ovaj atribut se može koristiti kao pomoć pri određivanju Distinguished imena PSO-a koji se primenjuje na korisnika. Ako ne postoji nijedan PSO objekat koji je povezan na korisnika, ovaj atribut neće sadržati iznos i GPO Defoltne domenske polise će sadržati efetivnu polisu lozinki (Effective Password Policy).


Možemo da iskorstimo dva metoda da bismo videli msDS-ResultantPSO atribut:

  • Windows Interface: U Active Directory Users and Computers potrebno je proveriti da li je omogućena Advanced Featires karakteristika koja se nalazi u View meniju i nakon toga otvorimo Properties korisničkog naloga. Možemo da vidimo msDS-          -ResultantPSo atribut na kartici Attribute Editor. Možda ćemo morati da omogućimo Show Read-Only Attributes\Constructed opciju na Filteru.
  • DSGET command-line alatka: Otvorimo komandu liniju i upišemo sledeću komandu:  sdget user <User-DN> -effectivepso.
Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Implementacija Fine-Grained Password polisa 1
  • Implementacija Fine-Grained Password polisa 2
  • Implementacija Fine-Grained Password polisa 3