ARUBA INSTANT WI-FI: SIMPLĂ, PUTERNICĂ, DISPONIBILĂ
Utilizarea grupurilor de umbre
Există mai multe instrumente pe care le puteți utiliza pentru a crea un grup de umbră, inclusiv Windows PowerShell, LDIFDE și VBScript, dar cel mai simplu mod - utilizarea built-AD Directory Services echipa. Următoarea comandă execută o interogare pentru obiecte utilizator din unitatea organizațională HR din domeniul numit ad.mycompany.com.
Utilizatorul dsquery ou = hr, dc = ad, dc = firma mea,
dc = com | grupul dsmod cn = hr_ou_users,
ou = grupuri, dc = ad, dc = firma mea,
dc = com -chmbr
Această comandă se schimbă, de asemenea, calitatea de membru al grupului existent la nivel mondial de securitate, hr_ou_users, care este în OU, numite grupuri, care reflectă rezultatele cererii utilizatorului inițial. Comanda dsquery este utilizată pentru a rula cererile LDAP direcționate spre AD. În acest exemplu, utilizatorul specifică tipul de obiect de căutare; rezultatele sunt limitate la obiectele din cadrul unității organizaționale a HR. Comanda dsmod modifică obiectele AD existente; grupul specifică tipul obiectului de modificat, urmat de locația exactă în AD. Comutatorul -chmbr înlocuiește toți membrii grupului.
Apoi, o politică detaliată a parolei poate fi aplicată noului grup de umbre și, dacă este necesar, actualizați calitatea de membru în grup, planificând execuția echipei. În esență, această soluție aplică o politică detaliată a parolei pentru obiectele utilizatorului situate în OU, chiar dacă tehnic politica este aplicată grupului.
Numai administratorii de domenii pot crea sau modifica obiecte de setare a parolei (PSO) și le pot asocia cu grupuri cu setări standard de securitate AD. Pentru a permite personalului de sprijin pentru a schimba politica de parole, care se aplică unui anumit utilizator, este recomandat pentru a lega OSP grupului și pentru a oferi administratorilor și inginerilor posibilitatea de a muta utilizatorii între grupuri. Dacă vă construi un model de delegare de succes pentru companie, apoi personalul de sprijin alocat utilizatorul va fi capabil de a schimba politica fără a schimba AD direct.
Definirea politicilor de parolă detaliate aplicate obiectului utilizator
La diagnosticarea problemelor legate de politicile detaliate ale parolei, uneori trebuie să aflați ce obiect PSO este aplicat contului de utilizator. Pentru a face acest lucru nu este întotdeauna ușor, deoarece există un sistem de priorități atunci când se aplică mai multe obiecte PSO la grupuri și / sau direct la un obiect utilizator.
Pentru a obține valoarea atributului msDS-ResultantPSO al contului de utilizator, introduceți comanda dsget și specificați numele distins (DN) al obiectului utilizator:
utilizator dsget "cn = administrator, cn = utilizatori,
dc = ad, dc = com »-effectivepso
Ca rezultat al comenzii, un obiect PSO este aplicat contului de administrator (dacă este cazul) în formatul următor, unde passpol_Admins este numele funcției PSO efective:
effectivepso "CN = passpol_Admins, CN = parola
Setări pentru container, CN = sistem, DC = ad, DC = mycompany, DC = com "
dsget a reușit
Dacă selectați Caracteristici avansate din meniul View în completare snap-in Active Directory Users and Computers consola, Microsoft Management Console (MMC), puteți găsi, de asemenea, din valoarea FTS-ResultantPSO atribut pentru a găsi un obiect utilizator folosind GUI. Faceți clic cu butonul din dreapta pe numele de utilizator, faceți clic pe Proprietăți, apoi faceți clic pe fila Editor de atribute. Pentru a vizualiza atributul FDS ResultantPSO, faceți clic pe Filtru din fila Atribut Editor, și adăugați construit în Afișare read-only atribute. Această metodă poate fi cea mai potrivită pentru personalul de asistență novice.
Creați PSO cu PowerShell
Microsoft nu oferă un instrument GUI pentru crearea obiectelor PSO. Puteți adăuga obiecte PSO la AD nu numai cu instrumente standard, cum ar fi ADSI Edit sau ldp.exe. Software-ul Quest oferă un set gratuit de comenzi PowerShell ca parte a Active Directory Management Shell pentru Active Directory, pe care o puteți utiliza pentru a administra AD. Setul oferă mai multe comenzi pentru gestionarea obiectelor PSO. Aceste comenzi pot, de asemenea, să vină la îndemână pentru automatizarea procesului de creare a unui PSO. Înainte de încărcarea și instalarea comenzilor, trebuie să instalați PowerShell și .NET Framework.
Conectați-vă ca administrator de domeniu și porniți PowerShell din meniul Start.
Pentru a lucra cu comenzi noi din PowerShell, executați comanda
add-pssnapin quest.activeroles.
admanagement
Pentru a crea un nou obiect PSO pentru administratorii de domeniu, tastați
adminii
precedență 10-parolă istoric 5
passwordcomplexityenabled $ true
minimul cuvântului cuvântului 6
Pentru a aplica o politică grupului Domain Admins, tastați
add-qadpasswordsettingsobjectappliesto
admins -appliesto "administratori addomain"
Asigurați-vă că obiectul PSO admins este asociat cu grupul Domain Admins și că toate celelalte atribute sunt setate corect:
așa cum se arată pe ecranul 1.
managerul get-qaduser -inclusiiproperții
msds-resultantpso | format nume-listă,
FTS-resultantpso
Tastați următoarea comandă pentru a elimina PSO administrativ:
Înainte de a șterge PSO, vi se va solicita confirmarea.
Crearea PSO cu Specops
Conectați-vă ca administrator de domeniu și executați Password Policy Basic din meniul Start.
În secțiunea Domenii conectate, asigurați-vă că domeniul este listat. În acest caz, domeniul conectat este ad.com. Faceți clic pe butonul Configurați domeniul selectat.
Politica prestabilită a parolei de domeniu va fi afișată în panoul MMC potrivit. Faceți clic pe Politica de parole noi pentru a crea un nou PSO. Dați politicii denumirea Administratori.
Configurați setările necesare pentru PSO în secțiunile Setări politică parolă și Setări blocare cont, după cum se arată pe ecranul 3.
Faceți clic pe butonul Adăugați membru din partea dreaptă jos a casetei de dialog Parolă de politică, adăugați grupul Domain Admins la fereastra Selectați utilizatori sau grupuri în AD și faceți clic pe OK.
Figura 4 prezintă noua politică Administrators, care are prioritate pentru utilizatorii care sunt membri ai grupului Domain Admins. Dacă doriți să configurați mai multe PSO, puteți utiliza săgețile din partea dreaptă a MMC pentru a modifica prioritatea; cea mai mare este la nivelul PSO de sus.
Faceți clic pe Politica de căutare a parolei pentru utilizator și introduceți administratorul de cuvânt în caseta de dialog Selectare utilizatori. Ar trebui să vedeți un mesaj conform căruia politica administratorilor este activă pentru contul de administrator.
Russell Smith ([email protected]) este un consultant IT independent, specializat în managementul sistemelor
Distribuiți materialul împreună cu colegii și prietenii
Articole similare
Trimiteți-le prietenilor: