Non so se vi siete mai accoti che in active directory e' possibile applicare solo un tipo di policy per le password. Tutti gli utenti, siano essi domain user o enterprise admin, sono sottoposti agli stessi vincoli di complessita, lunghezza, scadenza ecc. ecc. Questa cosa non va sempre bene, soprattutto in realta piu vaste e dove ad esempio sono trattati dati sensibili o sensibilissimi. FGPP serve proprio a superare questo limite. Non e' una group policy e puo essere applicata a gruppi o utente, ma non ad OU. Nella sostanza viene creo un PSO (password security object) che viene poi applicato a gruppi od utenti specifici.
COME SI FA?
Dalla "Active directory administrative center" console (potete usare anche adsi edit se volete), si seleziona il dominio e si va dentro SYSTEM.
Tra i contaneir presenti troverete anche quello chiamato "PASSWORD SETTINGS CONTAINER". Tasto DX - new - password settings.
Nella scheramata che si aprira impostare le opzioni e scegliere un gruppo a cui assegnarle. Date OK, ed inserire gli utenti nel gruppo assegnato. Siete pronti a verificare che il tutto funzioni
ALCUNE NOTE
Io preferisco usare sempre i gruppi anche nel caso in cui si parli di un singolo utente. A colpo d'occhio capisco le FGPP assegnate controllando a quali gruppi appartiene.
E' una buona idea usare dei nomi di gruppi che richiamino quelli scelti per le policy
Per controllare le FGPP assegnate a gruppi ed utenti usate sempre ADDC. Selezionate il gruppo tasto dx - proprieta - password settings, oppure sull'utente tasto dx - view resultant password settings
GPO - impostazione password
L'impostazione delle opzioni per le password in un dominio viene effettuato dalla default domain policy, andando nel seguente percorso: Policies-Windows settings-security settings-account policies.
Dopo aver fatto le opportune modifiche potete verificare le impostazioni delle password eseguendo secpol.msc da un domain controller.
Ricordate sempre di abilitare il blocco degli utenti dopo un certo numero di tentativi falliti. Meglio un utente bloccato che un server bucato :)
Nessun commento:
Posta un commento