buy custom essays onlinebuy custom essays online

Windows Server 2008 - Fine-Grained Password Policies
Parajumpers sale www.airbrushhenk.nl Parajumpers sale http://www.unifem.ch canada goose sale Canada Goose jas http://www.canadagooseoutlets.be https://www.gasinc.nl
Home » Hệ điều hành » Windows Server 2008 » Windows Server 2008 – Fine-Grained Password Policies

Windows Server 2008 – Fine-Grained Password Policies

 Fine-Grained Password Policies In Windows Server 2008

I) Giới Thiệu:

Như các bạn đã biết trong Windows 2000 hay Windows Server 2003, khi các bạn dùng Password Policy hay Account Lockout Policy thì tất cả các user trong toàn hệ thống domain đều bị ảnh hưởng. Giả sử công ty bạn có nhu cầu muốn áp password policy chỉ cho riêng 1 user hay 1 group nào đó, thì bạn sẽ làm như thế nào. Tính năng Fine-Grained Password Policies trong Windows Server 2008 sẽ gúp bạn làm điều đó. Hôm nay, nhóc sẽ hướng dẫn các bạn từng bước để làm Fine-Grained Password Policies. Bài lab gồm những bước sau đây:

– Chính Password đơn giản

– Tạo user và group

– Tạo 1 PSO

– Áp PSO lên user hoặc group (không áp PSO trực tiếp lên OU)

II) Chuẩn bị:

– 1 máy Windows Server 2008 đã nâng cấp lên Domain (mô hình bài lab là NHATNGHE.LOCAL)

 

III) Thực hiện:

1) Chỉnh Password đơn giản và Account Logon locally:

– Vào Start–>Program–>Administrative Tools, chọn Server Manager

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024×768

Fine-Grained-Password-Policies001.png

– Sau đó, bạn click phải Default Domain Policy, chọn Edit

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024×744

Fine-Grained-Password-Policies002.png

– Mở Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policies

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024×744

Description: http://nhatnghe.com/tailieu/fineg/pmv002a.png

– Bạn sửa lại 2 giá trị sau đây:

+ Minimum Password Length: 0
Fine-Grained-Password-Policies003.png

+ Password must meet complexity requirements: Disabled
Fine-Grained-Password-Policies004.png

– Tiếp theo, bạn click phải Default Domain Controller Policy, chọn Edit

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024×744

Fine-Grained-Password-Policies005.png
– Ở phần User Right Assignment, bạn chọn Allow Logon Locally và add thêm group Users

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024×744

Fine-Grained-Password-Policies006.png
Fine-Grained-Password-Policies007.png
– Cuối cùng, bạn vào Start–>Run, gõ: gpupdate /force

2) Tạo 2 user tí, tèo và 2 group Sep, Nhanvien

B1: Vào Server Manager, Roles\Active Directory Domain Services\ Active Directory Users and Computers, click phải Users, chọn New–>User

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024×744

Fine-Grained-Password-Policies008.png

– Lần lượt điền các thông tin về user. Ví dụ: user Ty, password:123
Fine-Grained-Password-Policies009.png
Fine-Grained-Password-Policies010.png

– Tương tự như vậy, bạn tạo thêm user Tèo

B2: Tạo 2 group Sep và Nhanvien

– Click phải Users, chọn New–>Group

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024×744

Fine-Grained-Password-Policies011.png

– Đặt tên group là SEP và chọn Global Security Group

– Click phải group SEP, chọn Properties

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024×744

Fine-Grained-Password-Policies012.png

– Chọn thẻ Members, add user Teo vào group Sep

Fine-Grained-Password-Policies013.png

– Tương tự, bạn tạo group Nhanvien, và add user Ty vào group Nhanvien

3) Tạo PSO (Password Settings Object)

PSO chứa tất cả các thuộc tính về Password Policy và sau đó bạn có thể dùng file này để link đến 1 user hoặc 1 group chỉ định. Bạn có thể tạo nhiều file PSO. 1 file PSO bao gồm những thông tin sau :

Enforce password history (msDS-PasswordHistoryLength) : số lần lưu giữ password

Maximum password age (msDS-MaximumPasswordAge): tuổi thọ tối đa của password.

Minimum password age (msDS-MinimumPasswordAge): tuổi thọ tối thiểu của password.

Minimum password length (msDS-MinimumPasswordLength): Chiều dài tối thiếu của password

Passwords must meet complexity requirements (msDS-Password-ComplexityEnabled): Password phức tạp

Store passwords using reversible encryption (msDS-PasswordReversibleEncryptionEnabled): Password mã hóa

Ngoài ra, PSO còn có những qui định về khóa tài khoản:

Account lockout duration (msDS-LockoutDuration): tài khoản sẽ bị khóa trong thời gian bao lâu

Account lockout threshold (msDS-LockoutThreshold): tài khoản sẽ bị khóa sau ? lần đăng nhập bất hợp pháp

Reset account lockout counter after (msDS-LockoutObservationWindow): Reset lại bộ đếm của tài khoản bị khóa.

Nãy giờ chúng ta đã đi qua các khái niệm về PSO rồi, nhóc sẽ làm một ví dụ cho các bạn thấy

Giả sử, bạn muốn các user trong group Sep phải đặt password đơn giản, chiều dài tối thiểu của password là 5 ký ‎tự, user sẽ bị khóa tài khoản sau 3 lần đăng nhập bất hợp pháp, tài khoản sẽ bị khóa trong vòng 30 phút

Có 2 cách để tạo PSO

C1: Bạn dùng ADSI

B1: Bạn vào Start\Run, gõ adsiedit.msc

Fine-Grained-Password-Policies014.png

B2: Click phải vào ADSI Edit, chọn Connect to…

Fine-Grained-Password-Policies015.png

+ Ở khung Name, bạn nhập vào tên domain của minh. Ví dụ: NHATNGHE.LOCAL

Fine-Grained-Password-Policies016.png

B3: Bạn mở lần lượt Domain NHATNGHE.LOCAL\CN=SYSTEM, click phải CN=Password Settings Container, chọn New–>Object

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024×744

Fine-Grained-Password-Policies017.png

– Ở khung CN, bạn đặt tên để gợi nhớ đến Policy. Ví dụ: Policy cho SEP

Fine-Grained-Password-Policies019.png

Nó sẽ có các thuộc tính sau đây:

1. msDS-PasswordSettingsPrecedence: Độ ưu tiên của PSO. Giả sử bạn có 2 PSO cùng áp lên 1 user, PSO nào có precedence nhỏ hơn sẽ được ưu tiên. Ở đây nhóc đặt là 1

Description: http://nhatnghe.com/tailieu/fineg/pmv026a.png

2. msDS-PasswordReversibleEncryptionEnabled: Password mã hóa. Ở khung Value, bạn có thể đặt giá trị là FALSE(không mã hóa) hoặc TRUE (mã hóa). Nên đặt là FALSE

Fine-Grained-Password-Policies020.png

3. msDS-PasswordHistoryLength: Số lần lưu giữ password. Ở khung Value, bạn có thể đặt giá trị từ 0 đến 1024.

Fine-Grained-Password-Policies021.png

4. msDS-PasswordComplexityEnabled: Password phức tạp. Ở khung Value, bạn có thể đặt giá trị là FALSE (không) hoặc TRUE (có).

Fine-Grained-Password-Policies022.png

5. msDS-MinimumPasswordLength: Chiều dài tối thiểu của password. Ở khung Value, bạn có thể đặt giá trị từ 0 đến 255 (hix, ai mà đặt cái ô này là 255 chắc bị đuổi việc sớm quá)

Fine-Grained-Password-Policies023.png

6. msDS-MinimumPasswordAge: Tuổi thọ tối thiểu của password. Ở khung Value, bạn có 2 tùy chọn để nhập

* (None): không có

* Có dạng 00:00:00:00(ngày:giờ: phút: giây). Ví dụ bạn nhập 3:00:00:00 (3 ngày), thì sang ngày thứ 4, nó sẽ bắt bạn change password.

Fine-Grained-Password-Policies024.png

7. msDS-MaximumPasswordAge: Tuổi thọ tối đa của password. Ở khung Value, bạn cũng có 2 tùy chọn để nhập như (6)

Fine-Grained-Password-Policies025.png

8. msDS-LockoutThreshold: Tài khoản sẽ bị khóa sau ? lần đăng nhập bất hợp pháp. Ở khung Value bạn có thể đặt giá trị từ 0 đến 65535

Fine-Grained-Password-Policies026.png

9. msDS-LockoutObservationWindow: Reset lại bộ đếm của tài khoản bị khóa. Ở khung Value, bạn cũng có 2 tùy chọn để nhập

a. (None): không có

b. Có dạng 00:00:00:00(ngày:giờ:phút:giây)

Fine-Grained-Password-Policies027.png

10. msDS-LockoutDuration: Khóa tài khoản trong bao lâu. Ở khung Value, bạn cũng có 2 tùy chọn để nhập

a. (Never): không có

b. Có dạng 00:00:00:00(ngày:giờ: phút: giây).

Fine-Grained-Password-Policies028.png

– Cuối cùng, bạn nhấn More Attributes. Ở khung Select a property to view, bạn chọn : msDS-PSOAppliesTo

Fine-Grained-Password-Policies029.png

Fine-Grained-Password-Policies030.png

– Ở khung Edit, bạn nhập vào : CN=Sep,CN=USERS,DC=NHATNGHE,DC=LOCAL(ta có thể hiểu như sau GROUP SEP nằm trong Users trong domain NHATNGHE.LOCAL). Nhấn Add

Fine-Grained-Password-Policies031.png

-Tương tự, bạn thử tạo 1 PSO cho group Nhanvien, với yêu cầu là bắt buộc user phải nhập password phức tạp, chiều dài tối thiểu là 8 kí tự, log on sai 4 lần sẽ bị khóa tài khoản, thời gian khóa là 30 phút.

C2: Ngoài cách tạo PSO bằng ADSI, bạn có thể tạo PSO bằng dòng lệnh.

B1: Bạn mở notepad lên, đánh vào nội dung bên dưới(sửa lại 1 vài chỗ cho phù hợp với yêu cầu của công ty bạn), lưu lại với tên pso_sep.ldf

dn: CN=Policy cho sep, CN=Password Settings Container,CN=System,DC=NHATNGHE,DC=LOCAL

changetype: add

objectClass: msDS-PasswordSettings

msDS-MaximumPasswordAge:-1728000000000

msDS-MinimumPasswordAge:-864000000000

msDS-MinimumPasswordLength:5

msDS-PasswordHistoryLength:0

msDS-PasswordComplexityEnabled:FALSE

msDS-PasswordReversibleEncryptionEnabled:FALSE

msDS-LockoutObservationWindow:-18000000000

msDS-LockoutDuration:-18000000000

msDS-LockoutThreshold:3

msDS-PasswordSettingsPrecedence:1

msDS-PSOAppliesTo:CN=SEP,CN=Users,DC=NHATNGHE, DC=LOCAL

B2: Vào Start\Run, gõ CMD, gõ lệnh ldifde –i –f pso_sep.ldf

 

4) Test thử

Hehe, làm từ đầu đến cuối, thích nhất là cái phần này.

– Đầu tiên bạn mở Server Manager lên, chọn Active Directory Users and Computers, chọn Users, sau đó bạn chọn View–>Advanced Feature

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024×740

Fine-Grained-Password-Policies043.png

– Click phải group Sep, chọn Attribute Editor, tìm đến dòng distinguisedName, bạn sẽ thấy là nó đã được add vào đây

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024×740

Fine-Grained-Password-Policies044.png

Fine-Grained-Password-Policies045.png

– Bây giờ chúng ta thử reset password cho user Teo xem nào (Teo thuộc group Sep: password đơn giản, chiều dài tối thiểu phải 5 ký tự ). Click phải User Tèo, chọn Reset Password, bạn gõ vào: 456, màn hình báo lỗi sẽ hiện ra, ((tại vì hồi nãy bạn set pass tối thiểu phải là 5 ký tự)

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024×740

Fine-Grained-Password-Policies046.png

Fine-Grained-Password-Policies047.png

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024×768

Fine-Grained-Password-Policies048.png

– Sau đó, bạn thử set lại password là “45678” , màn hình thông báo change pass thành công

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 1024×768

Fine-Grained-Password-Policies049.png

Wow, vậy là chúng ta đã hoàn thành xong bài lab. Không những PSO áp dụng cho group mà nó còn áp dụng cho cả User mà bạn chỉ định nữa. Nhóc hy vọng bài lab này sẽ giúp bạn hiểu thêm về những tính năng mới của Windows Server 2008.

 

© 2012, Quản trị mạngNguồn: nhatnghe.

VN:F [1.9.17_1161]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.17_1161]
Rating: +1 (from 1 vote)
Windows Server 2008 - Fine-Grained Password Policies, 10.0 out of 10 based on 1 rating
Post a Comment 

You must be logged in to post a comment.