Wordpress Free ThemesOnline TipsArticles DirectoryForeclosure HelpHouse For Sale By OwnerHouse StagingProperty Management

Windows Server 2008 R2 Fine Grained Password Policy

| 18 Mart 2012 | 2 Comments

           Server 2008 ile birlikte tanıştığımız Fine Grained Password Policy ( Kullanıcı temelli paralo belirleme ilkesi) ile farklı kullanıcılarımız için farklı parolalar belirleyebiliyoruz.

Server 2008 öncesinde bütün kullanıcılarımız için aynı parola ilkelerini uygulamak durumunda idik ve bu parola ilkesi de Default Domain Policy ile düzenlenirdi. Eğer Server 2008 öncesi (2003 veya 2000) bir etki alanımız var ise ağımızda bulunan farklı kullanıcılar için  farklı parola oluşturmak istediğimizde yeni bir etki alanı tanımlamamız ve parolalarının farklı olmasını istediğimiz kullanıcıları ve bu yeni etki alanına taşımamız ve orada farklı parola ilkeleri belirlememiz gerekirdi. Tabi bu işlemler hem zahmetli hem de yönetim açısından vakit kaybı anlamına gelmektedir.

Server 2008 ile birlikte bu zahmetlerden kurtulduk ve aynı etki alanı içindeki farklı kullanıcılar için farklı parola ilkeleri belirleyebilme imkanına kavuştuk. Peki bu işlemi nasıl gerçekleştirebiliriz? Bu makalemizde adım adım kullanıcı temelli parola belirleme ilkesini         – ince ayarlı parola belirleme- gerçekleştireceğiz.

İşleme başlamadan önce Domain Functional Level Server 2008 olmalıdır. Farklı parola belirleme ilkesini  OU (organizational unit) bazında gerçekleştiremeyiz. Kullanıcı yada grup seviyesinde bu işlemi gerçekleştirebiliriz. Bu işlemi yapabilmek için Domain Admins yetkilerine sahip bir kullanıcı olmalı ( yada bu işlemi yapabilmek için delege edilmiş bir kullanıcı). Adım adım gerçekleştirdikten sonra etki alanımızda bulunan Sistem grubunun üyesi olan bir kullanıcı için farklı bir parola belirleyeceğiz.

Bu işlemi yapabilmek için ADSIEdit.msc aracını kullanacağız. ADSIEdit ( Active Directory Services Interface Editor) aracı Server 2008 ile birlikte yerleşik olarak gelmektedir. Server 2000-2003 işletim sistemlerinde ise Support Tools içinde yer alır. Biz yapımızda Server 2008 R2 SP1 işletim sistemi olan DC üzerinde işlemleri gerçekleştireceğiz. Bu kadar hikayeden sonra işe başlayabiliriz.

ADSI-Edit aracına  Administrative Tools altında yada Run kısmına ADSIEdit.msc yazarak ulaşabiliriz.

clip_image001

Şekil 1

Konsol çalıştığında boş bir pencere ile karşılaşırız. İşlem yapabilmemiz için Active Directory’e bağlanmamız gerekir.

clip_image002

Şekil 2

AD’ ye bağlanmak için ADSI Edit kısmına sağ tıklayarak Connect to dememiz gerekir.

clip_image003

Şekil 3

Gelen ekranda hiçbir ayar değiştirmeden OK diyebileceğimiz gibi Name kısmına etki alanımızın adına yazarak ta Active Directory’e bağlanabiliriz.

clip_image004

Şekil 4

Bağlandıktan sonra artık etki alanının bağırsaklarına kadar girmiş oluruz. Biz de zaten küçük bir operasyonla işlemi tamamlamak istiyoruz.

clip_image005

Şekil 5

İşlemlerimiz System kabının altındaki Password Settings Container üzerinde yapacağız. O kısma geçip sağ tıklıyoruz  New ve ardından Object diyoruz.

clip_image006

Şekil 6

Gelen pencerede sınıf seçmemiz gerekiyor. Biz farklı password belirtmek istediğimiz için msDS-Password Settings’ i seçiyoruz ve Next diyoruz (Başka Seçenek yok zaten)

clip_image007

Şekil 7

Sonraki adımda Value yazan kısımda bir isim belirlememiz gerekir. Murat_Parola adında bir isim veriyoruz. Siz kendinize göre bir isim verebilirsiniz.

clip_image008

Şekil 8

Sonraki adım önemli bir kısım. Bu adımda belirleyeceğimiz parola ilkesi için bir precedence (öncelik) belirliyoruz. Bu önceliği belirleme nedenimiz ise kullanıcı için farklı başka  kurallarda oluşturulursa, hangi kurala göre oluşturulacağını bu kural belirler. Biz değerimizi 1 yapıyoruz. Yani bu kurala göre belirlensin diyoruz.

clip_image009

Şekil 9

msDS-PasswordRevesibleEncryptionenabled kısmında parolanın zayıf bir şekilde Encrypt (şifreleme) edilip edilmeyeceğini belirlememiz gerekir. Değeri True yaparsak bu özelliği kullanmak istediğimiz belirtiriz. False yapar isek bu özelliği kullanmak istemediğimiz belirtiriz. Biz False kullanmak istemediğimizi belirterek devam ediyoruz.

clip_image010

Şekil 10

msDS-PasswordHistoryLenght kısmında ise geçmişe yönelik olarak kaç adet parola anımsanacağı belirlenir. Yani buradaki değeri 3 verirsek kullanıcı daha önce kullanmış olduğu 3 parolayı kullanamayacaktır. “0” değerini verir isek geçmişe yönelik olarak hiçbir parola tarihçesi tutulmayacaktır.

clip_image011

Şekil 11

msDS-PasswordComplexityEnabled kısmında parolanın karmaşık olup olmayacağı belirlenir. Burada True değeri verir isek karmaşık (complex) bir parola kullanılmasını zorunlu hale getirmiş oluruz. False değeri verir isek karmaşık parola kullanma zorunluluğunu ortadan kaldırmış oluruz.

clip_image012

Şekil 12

msDS-MinumunPasswordLenght kısmında parolanın en az kaç karakterden oluşacağını belirleriz. Biz 3 olarak belirleyeceğiz. Default olarak en az 7 karakter olmalıdır. 14 karaktere kadar izin verebiliriz.

clip_image013

Şekil 13

msDS-MinumumPasswordAge kısmında parolanın minimum kaç gün geçerli olacağını belirleriz. Burada ki değeri gün:saat:dakika:saniye cinsinden girmeliyiz. 20 gün geçerli olacak ise 20:00:00:00 olarak değeri belirtebiliriz.

clip_image014

Şekil 14

msDS-MaximumPasswordAge kısmında parolanın maksimum kaç gün geçerli olacağını belirleriz. Buradaki değeri de gün:saat:dakika:saniye cinsinden vermeliyiz.

clip_image015

Şekil 15

msDS-LockoutThreshold parola kilitlenme eşik değerini belirtiriz. Buraya 3 değerini verir isek kullanıcı parolasını 3 defa yanlış girer ise hesabı kilitlenecektir.

clip_image016

Şekil 16

msDS-LockoutObservationWindow. Yanlış girilen parola tutma sayacı da diyebiliriz. Buradaki değeri de gün:saat:dakika:saniye cinsinden vermeliyiz. 15 dakikalık kilitlenme süresi için 00:00:15:00 yazarız. Parola tutma  sayacı 15 dakika sonra sıfırlanacaktır.

clip_image017

Şekil 17

msDS-LockoutDuration parolanın yanlış girilmesi sonucu kilitlenen hesabın ne kadar süre ile kilitli kalacağını belirleriz. Buradaki değeri de gün:saat:dakika:saniye cinsinden vermeliyiz. Buraya 00:00:00:00 değeri verir isek yönetici hesabı açana kadar hesap kilitli kalır.

clip_image018

Şekil 18

 Bütün bu değerleri girdikten sonra Next diyerek işlemi sonlandıracağımız ekran ile karşılaşırız. Biraz detaylı bir ayarlama süreci var ama nihayet bitirdik.

clip_image019

Şekil 19

Yukarıdaki ekranda Finish diyerek işlemi bitirebiliriz. Fine granied password policy işlemlerini bitirdik fakat henüz oluşturduğumuz bu poliçeyi herhangi bir kullanıcı yada gruba uygulamadık.  

clip_image020

Şekil 20

Oluşturmuş olduğumuz objenin üstüne çift tıklayarak yada sağ tıklayıp Properties’e girerek bazı ayarlamalar yapmamız gerekiyor.

clip_image021

Şekil 21

msDS-PSOApplies To kısmına dikkat edersek henüz not set durumunda. Yani bu parola her hangi bir kullanıcı yada gruba uygulanmamış durumda. Bu kısım seçili iken Edit butonuna tıklıyoruz.

clip_image022

Şekil 22

Add Windows Account kısmına tıklayarak oluşturmuş olduğumuz bu poliçeyi AD içinde uygulamak istediğimiz kullanıcı ve grupları seçebiliriz. Burada Sistem grubu içindeki Murat kullanıcısına Default Domain Policy ile gelen parola ilkelerinden ayrı bir parola belirleyeceğiz.

clip_image023

Şekil 23

Seçmiş olduğumuz grup eklendi.

clip_image024

Şekil 24

Artık parola belirleme zamanı geldi. Biz 3 karakterden oluşan ve kompleks olmayan bir parola belirleyeceğiz ve yaptığımız işlemlerini sonucu göreceğiz.

clip_image025

Şekil 25

Murat kullanıcısı için parola belirleyeceğiz.

clip_image026

Şekil 26

Parolamızı yazıyoruz ve OK diyoruz.

clip_image027

Şekil 27

Ve parolamız (3 karakterli ve kompleks değil) başarıyla değiştirildi. Default Domain Policy ile gelen password policy’den etkilenmedi.

Faydalı olması dileğiyle….

Murat KOÇAK

IT Professional 

 

 

 

 

 

RastGele Reklam Kodu


Etiketler: , , ,

Kategori: Windows Server

Murat KOÇAK

Yazar Hakkında ()

www.kocakmurat.com IT Professional

Yorumlar (2)

Trackback URL | Comments RSS Feed

  1. Murat hocam eline sağlık yine harikalar çıkartmışsın.

  2. Sefa Aydemir Sefa Aydemir dedi ki:

    Ellerine sağlık hocam her zamanki gibi mükemmel olmuş…

Bir yorum yazın

Bir Yorum yazmak için giriş yapmalısınız.