IT2web

Системному администратору Windows Server

Главная --> Active Directory --> Изменения в парольной политике Windows 2008 - Политики учетных записей в Windows Server 2008

Изменения в парольной политике Windows 2008 - Политики учетных записей в Windows Server 2008

Индекс материала
Изменения в парольной политике Windows 2008
Установка политик учетных записей
Что нельзя сделать с текущими политиками паролей
Как обрабатываются пароли
Политики учетных записей в Windows Server 2008
Указание на параметры политики учетных записей
Все страницы


Политики учетных записей в Windows Server 2008

В Windows Server 2008 не нужно устанавливать политики учетных записей с политикой домена по умолчанию. Более того, вообще не надо будет использовать объекты групповой политики для создания политик учетных записей пользователей домена. В Windows Server 2008 изменения будут производиться в базе данных Active Directory. В частности, для изменения объекта Active Directory и связанных с ним атрибутов будет применяться программа, такая как ADSIEdit.

Причина этого изменения заключается в том, что групповая политика не поддерживает несколько политик паролей в одном домене. Реализация поддержки нескольких политик паролей в одном домене в Windows Server 2008 весьма изящна, но не слишком проста. Впрочем, со временем интерфейс для настройки параметров станет проще. В настоящее время для внесения изменений в систему требуется изменять базу данных Active Directory, а это непросто и требует высокой квалификации.

Впрочем, нет необходимости использовать ADSIEdit для изменения параметров политик учетных записей, если вы предпочитаете делать это иначе. Можно использовать любые другие средства редактирования LDAP, способные изменять базу данных Active Directory, и даже сценарии. При реализации политик паролей в Windows Server 2008 подход будет коренным образом отличаться от того, что вы делали раньше. Прежде всего, придется обдумать, какие параметры паролей нужно назначить определенным пользователям и группам.

Следует учесть не только длину паролей, но и дополнительные ограничения, включая минимальный и максимальный срок действия, число последовательных уникальных паролей и т.д. Кроме того, следует подумать о том, как настроить параметры блокирования пользователей и параметры Kerberos. Между нынешними параметрами политики учетных записей и параметрами в базе данных Active Directory в Windows Server 2008 существует однозначное соответствие, однако следует учитывать, что имена всех параметров изменились, поскольку они теперь стали объектами и атрибутами Active Directory.

Для применения новых параметров паролей следует создать в контейнере параметров паролей объект параметров паролей (PSO) под названием msDS-PasswordSettings с путем LDAP "cn=Password Settings,cn=System,dc=domainname,dc=com." Обратите внимание, что функциональный уровень домена, в котором вы работаете, следует установить равным Windows Server 2008. В новом объекте нужно заполнить данные для нескольких атрибутов.

Как можно увидеть, все параметры групповой политики, относящиеся к параметрам политики учетных записей, продублированы в виде атрибутов. Следует учесть, что нужно установить и приоритет. Это необходимо для применения нескольких политик паролей в одном домене, поскольку неизбежно возникнут конфликты между политиками, и потребуется механизм для их устранения.



Комментарии  

 
#1 Kostya 09.12.2012 22:57
Администратор, придумай обновление сайта без блокировки всего ресурса. Весь день сайт на реконструкции
Цитировать
 
 
#2 standroot 19.06.2013 17:35
Цитирую Kostya:
Администратор, придумай обновление сайта без блокировки всего ресурса. Весь день сайт на реконструкции

Да, было дело. Просим прощения :)
Хостинг не справлялся. Сейчас страницы сайта отдаются в сжатом виде => хостингу легче, да и сам сайт открывается быстрее.
Цитировать