Windows 2000 Server ve Windows Server 2003 ortamında password politikaları domain bazında yapılabiliyordu. Örneğin parolanın uzunluğu, değiştirme süresi vb bilgiler tüm domain için düzenlenebiliyordu. Diğer bir deyişle yapılan düzenlemeler tüm domain’i etkiliyordu.
Windows Server 2008 işletim sistemi kullanıcı bazında farklı parola politikaları ve hesabın kilitlenmesi (account lockout) düzenlemeleri yapılabilmektedir. İşte “fine-grained” password politikaları, bir domain içerisinde istenen bir gruba ya da kullanıcıya farklı bir password düzenlememizi sağlıyor. Örneğin ceyhun.local domaini içerisindeki yönetim grubuna gelişmiş bir password politikası uygulanması.
İlk olarak Adsiedit’i çalıştırıyoruz.
Start => Run => Adsiedit.msc
Acılan konsolda ADSI Edit’i sağ tıklıyoruz ve Connect to komutunu seçerek Name kutusuna domainimizin adını yazıyoruz. Ardından önce domain adını sonra DC=Ceyhun,DC=local kısmını çift tıklayarak genişlettikten sonra CN=System’i de aynı şekilde genişletiyoruz. CN=Password Settings Container bölümünü sağ tıklayıp New ve Object komutunu seçiyoruz.
Sırasıyla;
Create object diyalog kutusunda “msDS-PasswordSettings” seçeneğinin seçili olduğunu doğrulayıp ilerliyoruz.
Create Object sayfasında Value kutusunda yaratacağımız nesne için bir ad belirtiyoruz.
“msDS-PasswordSettingsPredence” kutusuna normal bir değer olarak 10 yazıp ilerliyorum.
“msDS-PasswordReversibleEncryptionEnabled” kutusuna bu seçenek kullanılmayacağı için “FALSE” yazıyorum.
“”msDS-PasswordHistoryLength” kutusuna parolanın hatırlanacağı sayıyı yazıyoruz. Örneğin : 24
“msDS-PasswordComplexityEnabled” kutusuna kompleks parola için TRUE yazıp ilerliyoruz.
“msDS-MinumumPasswordAge” kutusuna 7:00:00:00 (7 gün) yazarak parolanın minimum kaç gün geçerli olacağını belirtiyorum. (GG:SS:DD:SS)
“msDS-MaximumPasswordAge” kutusuna 24:00:00:00 (24 gün) yazarak parolanın maksimum kaç gün geçerli olacağını belirtiyorum.
“msDS-LockoutThreshold” kısmına 3 yazarak kullanıcıların parolalarını 3 kez yanlış girmeleri durumunda hesaplarının kilitmesini istediğimi belirtiyorum.
“msDS-LockoutObservationWindows” kutusuna 0:0:10:00 değerini girerek parolasını 3 kez yanlış giren kullanıcının hesabının 10 dakika kilitli kalmasını istediğimi belirtiyorum.
“msDS-LockoutDuration” kısmına ise 0:0:10:00 değerini girerek kullanıcının hesabının 10 dakika kilitli kaldıktan sonra açılmasını istediğimi belirtip buradaki işlemlerimi tamamlıyorum.
Şimdi Active Directory Users and Computers aracını başlatalım ve view menüsünden Advanced Features komutunu seçelim. Ardından System bölümünü genişletip ve "Password Settings Container" seçeneğini tıklıyoruz.
Biraz önce yarattığımız psswd1 nesnesini sağ tıklayıp properties diyoruz ve Attirbute Editör tabından bu policy'den etkilenmesini istediğimiz kullanıcıyı "Add Windows Account" seçeneğini kullanarak ekliyoruz.
Ok diyerek tüm diyalog kutularını kapatabiliriz.
Bu makalemde Windows Server 2008 ile gelen yeniliklerden Fine-Grained Password Policy işlemini anlatmaya çalıştım. Umarım yararlı olmuştur.
Son Yorumlar