Aceste setări de politică implicită se aplică tuturor conturilor de domeniu și utilizatorilor asociați domeniului. Acest lucru este cauzat de modul în care Politica de grup moștenește un parametru în structura Active Directory. Pentru a înțelege mai bine modul în care aceste politici afectează contul de domeniu și utilizatorul local, trebuie să înțeleagă în cazul în care sunt stabilite aceste politici și modul în care moștenirea politică de grup afectează toate conturile. (Rețineți că setările de politică Kerberos se aplică numai conturilor de utilizator de domeniu, deoarece Kerberos este utilizat pentru autentificare numai conturile de domeniu. Conturile locale sunt utilizate pentru autentificare NTLMv2, NTLM, sau LM.)
Setările din acest obiect de politică de grup controlează politicile contului pentru toate conturile de utilizator de domeniu și pentru toate computerele din domeniu. Rețineți că există un Manager local de securitate (SAM) pe toate computerele de domeniu (desktop și servere). Dispecerul este controlat de setările din GPO. În plus, managerul local SAM conține conturi de utilizator locale pentru fiecare computer.
Setările implicite pentru politica de domeniu afectează toate computerele din domeniu prin moștenirea obiectelor GPO din structura Active Directory. Deoarece acest GPO este asociat cu o gazdă de domeniu, toate conturile de computere domenii vor depinde de acesta.
Ce nu se poate face cu politicile curente de parole?
De exemplu, mulți administratori consideră că utilizatorii din același domeniu pot avea mai multe politici de parole. Ei presupun că puteți crea un GPO și îl puteți conecta la OU. Ideea este de a muta conturile la OU, astfel încât acestea să fie afectate de GPO. În interiorul GPO, politicile contului de utilizator se modifică și se creează o politică de parolă mai sigură, de exemplu, prin specificarea unei lungimi maxime de 14 caractere. Totuși, din mai multe motive, o astfel de configurație nu va da rezultatul dorit. În primul rând, setările politicii de parolă se bazează pe computere, nu pe utilizatori. Din acest motiv, acestea nu vor afecta conturile de utilizator. În al doilea rând, singura modalitate de a modifica setările politicii contului pentru un cont de utilizator de domeniu este furnizată de un GPO asociat cu domeniul. Elementele GPO care sunt asociate cu unitățile organizaționale configurate să modifice politicile contului vor modifica managerul de cont de securitate locală pentru computerele aflate în OU sau în subdiviziunile OU asociate.
Cea de-a doua presupunere greșită este că setările de politică pentru conturile instalate în domeniul rădăcină (domeniul inițial al pădurii Active Directory) vor fi moștenite de domeniile forestiere copil. Acest lucru nu este adevărat. Efectuarea parametrilor în acest fel este imposibilă. GPO-urile care sunt asociate cu un domeniu și unitățile organizaționale din același domeniu nu vor afecta obiectele dintr-un alt domeniu, chiar dacă domeniul cu GPO asociat este domeniul rădăcină. Singura modalitate de propagare a GPO-urilor în diferite domenii este legarea obiectelor GPO de site-urile Active Directory.
Cum se gestionează parolele
După cum puteți vedea, toate setările politicii de grup care sunt legate de setările politicii contului sunt duplicate sub formă de atribute. Trebuie remarcat faptul că trebuie de asemenea stabilită prioritatea. Acest lucru este necesar pentru aplicarea mai multor politici de parolă într-un domeniu, deoarece conflictele dintre politicieni apar în mod inevitabil și va fi necesar un mecanism pentru a le elimina.
Specificarea setărilor pentru politica de cont
Pentru fiecare obiect pe care îl creați, trebuie să completați toate atributele astfel încât politica contului să fie aplicată fiecărui utilizator. Există un atribut nou, msDS-PSOAppliesTo, care determină ce obiect se aplică setările de politică. Acesta este cel mai important atribut, cu care puteți seta diferiți parametri pentru diferiți utilizatori. Acest atribut se aplică unei liste în care pot locui atât utilizatorii, cât și grupurile, însă este recomandat să folosiți grupuri în loc de utilizatori individuali, ca în toate celelalte cazuri când lucrați cu liste de control acces. Grupurile sunt mai stabile, mai clare și mult mai ușor de gestionat.
Timp de mulți ani, am vrut cu toții să folosim politici de parolă diferite într-un domeniu Active Directory și acum este posibil în cele din urmă. Nu mai este necesar să se aplice același nivel de securitate pentru toți utilizatorii din întregul domeniu în ceea ce privește parolele. Acum, de exemplu, puteți configura setările astfel încât utilizatorii obișnuiți să aibă parole de lungime de 8 caractere și profesioniști IT (care pot avea drepturi de administrator) - parole de lungime de 14 caractere.
Articole similare
Trimiteți-le prietenilor: