Гранулированные политики паролей
Если у вас в домене должны быть пользователи или группы пользователей для которых необходимы отличающиеся условия политики пароля от политик заданных по-умолчанию для всего домена, то Вам необходимо использовать так называемые "гранулированные политики паролей". Эти политики представляют отдельный класс объектов AD. Гранулированные политики пароля не реализованы как часть групповой политики и не применяются объектами GPO их можно применить отдельно к пользователю или глобальной группе.
Для того, что бы настроить PSO необходимо запустить adsiedit.msc. Для этого жмём Пуск -> Выполнить -> adsiedit.msc
В оснастке "Редактор ADSI" щелкните правой кнопкой мыши Редакторование ADSI и выберите команду Подключение к...
Подключаемся с настройками по-умолчанию (если делаем на контроллере домена и править собираемся настройки текущего домена) - жмём кнопку Ок в окне "Параметры подключения"
Далее зайдите по пути "DC=<имя_домена>" - "CN=System" - "CN=Password Setings Container".
Щелкните правой кнопкой пункт "CN=Password Setings Container" -> "Создать" -> "Объект".
В диалоговом окне Создание объекта в разделе Выберите класс выберите единственный доступный атрибут msDS-PasswordSettings и жмём кнопку "Далее".
После этого мастер поможет создать объект настроек для пароля Password Settings Object. Необходимо будет указать значение для каждого из следующих 10 атрибутов. Ниже представлена таблица с кратким описанием и возможными значениями атрибутов.
Имя атрибута | Краткое описание | Возможные значения |
Cn | <Имя PSO> | Любое допустимое имя Windows |
msDS-PasswordSettingsPrecedence | Параметр, используемый в качестве стоимости или приоритета для различных политик на тот случай, если для одного пользователя настраивается несколько политик PSO. Чем выше приоритет у настройки пароля PSO, тем меньше значение этого параметра. | Больше 0 |
msDS-PasswordReversibleEncryptionEnabled | Статус обратимого шифрования пароля для учетных записей пользователей | FALSE / TRUE
(рекомендуемое значение – FALSE) |
msDS-PasswordHistoryLength | Длина журнала пароля для учетных записей пользователей | От 0 до 1024 |
msDS-PasswordComplexityEnabled | Состояние сложности паролей учетных записей пользователей | FALSE / TRUE
(рекомендуемое значение – TRUE) |
msDS-MinimumPasswordLength | Минимальная длина паролей учетных записей пользователей | От 0 до 255 |
msDS-MinimumPasswordAge | Минимальный срок действия паролей учетных записей пользователей | от 00:00:00:00 до значения атрибута msDS-MaximumPasswordAge
(Например 1:00:00:00 -1 день) |
msDS-MaximumPasswordAge | Максимальный срок действия паролей учетных записей пользователей | От значения атрибута msDS-MinimumPasswordAge до (Никогда) Значение msDS-MaximumPasswordAge не может быть равным 0
(Например 90:00:00:00 - 90 дней) |
msDS-LockoutThreshold | Количество попыток ввода неверного пароля после которого учетная запись будет заблокирована | От 0 до 65535 |
msDS-LockoutObservationWindow | Через это время счетчик количества попыток ввода неверного пароля будет обнулен | (Не установлен)
(Никогда) От значения атрибута msDS-LockoutObservationWindow до (Никогда) (Например 0:00:30:00 -30 минут) |
После того как создана PSO, необходимо добавить в него пользователя или группу пользователей, к которым будет применяться указанные настройки пароля. Для этого нажимаем правой кнопкой мыши на PSO и выбираем "Свойства".
В редакторе атрибутов находим и выбираем атрибут msDS-PSOAppliesTo и нажимаем кнопку "Изменить".
В открывшемся окне редакторе добавляем пользователей или глобальную группу безопасности, к которым должен применяться объект параметров паролей и нажимаем "Ок".
Теперь можно проверить действительно ли примерилась политика паролей PSO, для этого запустите "Active Directory Пользователи и компьютеры", если у вас не включены дополнительные компоненты - включите их (нажмите "Вид" и поставьте галочку напротив Дополнительные компоненты), откройте свойства интересующего вас пользователя или группы, выберите вкладку "Редактор атрибутов", нажмите кнопку "Фильтр" в области Показать атрибуты, доступные только для чтения поставьте галочку Построенные. После этого найдите атрибут msDS-ResultantPSO в нем должен быть указан созданная вами или результирующая политика паролей Password Settings Object.
Если все указано верно настройку политик паролей PSO можно считать успешно завершенной.