Cara Mengatur Beberapa Kata Sandi dan Kebijakan Penguncian Akun - Bagaimana-Untuk

Cara Mengatur Beberapa Kata Sandi dan Kebijakan Penguncian Akun

Sejak Windows Server 2008, Microsoft telah mengaktifkan administrator untuk membuat beberapa kebijakan kata sandi untuk domain di Active Directory. Dalam lingkungan berkemampuan awan modern, penting bahwa akun istimewa yang lebih tinggi dikunci menggunakan kebijakan dan diaudit secara teratur.

Berikut panduan langkah demi langkah tentang cara mengaktifkan Beberapa Kata Sandi dan Kebijakan Penguncian Akun di lingkungan Anda. Ini juga dikenal sebagai kebijakan kata sandi yang rumit.
Sebelum mencoba ini, pastikan tingkat fungsional domain dan hutan Anda setidaknya 2008 atau lebih tinggi dan Anda masuk sebagai Administrator Domain (atau lebih tinggi).

7 Langkah total

Langkah 1: Navigasikan ke Pengaturan Sandi Wadah


Buka adsiedit.msc dari Start Menu> Klik kanan 'ADSI Edit' di panel kiri dan pilih 'Connect To'> Di kotak 'name', masukkan nama domain yang ingin Anda implementasikan dan klik OK> Perluas pohon sebelah kiri: DC = Domain Anda -> CN = Sistem -> CN = Kontainer Pengaturan Kata Sandi

Langkah 2: Buat kebijakan msDS-PasswordSettings

Sebuah. Klik kanan ruang kosong di sebelah kanan dan pilih ‘Baru’ -> ‘Objek’ -> msDS-PasswordSettings -> Selanjutnya

b. Beri nama kebijakan ini, di sini saya menyebutnya 'Eksekutif Kepala' -> Selanjutnya

c. Untuk setiap atribut yang diminta oleh wizard, isi dengan nilai yang sesuai:

Prioritas Pengaturan Kata Sandi - 0 ke atas
Ini adalah urutan penerapan Kebijakan Kata Sandi untuk pengguna: RENDAH
angka menunjukkan prioritas LEBIH TINGGI (akan menimpa orang lain).

Enkripsi Reversibel Mengaktifkan - benar atau salah
Simpan kata sandi menggunakan enkripsi yang dapat dibalik - tidak disarankan!

Panjang Riwayat Kata Sandi - 0 hingga 1024
Berapa banyak kata sandi yang diingat setelah pengguna mengubahnya.

Kompleksitas Kata Sandi Diaktifkan - benar atau salah
Kata sandi harus memenuhi persyaratan kompleksitas (yaitu harus memiliki angka, simbol, huruf besar dan kecil)

Panjang Kata Sandi Minimum - 0 hingga 255

Minimum Kata Sandi Usia - rentang waktu ditulis dalam dd: jj: mm: dd atau (tidak ada)
Berapa lama pengguna harus menyimpan kata sandi sebelum diizinkan untuk mengubahnya (berhenti berubah, lalu kembali lagi)

Usia Kata Sandi Maksimum - rentang waktu yang ditulis dalam dd: jj: mm: dd atau (tidak pernah)

Ambang Batas Lockout - 0 hingga 65535
Berapa banyak kata sandi yang dapat dimasukkan secara salah sebelum akun dikunci

Lockout Oberservation Window - rentang waktu ditulis dalam dd: jj: mm: dd atau (tidak ada)
Waktu untuk melihat kata sandi dan penguncian yang salah sebelumnya jika diperlukan.

Durasi Lockout - jangka waktu tertulis dalam dd: jj: mm: dd atau (tidak pernah)
Berapa lama untuk mengunci akun setelah jumlah kata sandi buruk tercapai

Klik ‘Selesai’, lalu klik kanan kebijakan kata sandi baru dan klik ‘Properti’

Temukan atribut ‘msDS-PSOAppliesTo’ dan klik dua kali, lalu ‘Tambah Akun Windows’

Langkah 3: Tentukan grup atau pengguna yang harus menerapkan kebijakan kata sandi ini:


Tentukan grup atau pengguna yang harus menerapkan kebijakan kata sandi ini dan tekan OK sepenuhnya ketika Anda selesai!

Langkah 4: Alternatif


Setelah kebijakan kata sandi Anda yang baru direplikasi ke pengontrol domain lainnya, kebijakan tersebut harus diberlakukan hampir secara instan.

Jika Anda cukup beruntung memiliki domain Windows Server 2012, atau komputer Windows 8 atau lebih tinggi dengan alat Administrasi Server Jarak Jauh diinstal, proses ini agak lebih mudah:

Buka Pusat Administrasi Direktori Aktif dan sambungkan ke domain Anda

Arahkan ke lokasi yang sama seperti dalam ADSI: Domain -> System -> Container Pengaturan Kata Sandi

Klik Kanan dan Pilih ‘Baru’ -> ‘Pengaturan Kata Sandi’
Dialog akan muncul dengan sebagian besar opsi yang sama seperti yang dijelaskan di atas, tetapi dengan sedikit kontrol atas beberapa durasi (misalnya, Anda tidak dapat menetapkan durasi dalam jam atau menit untuk usia kata sandi minimum / maksimum.

Tetapkan opsi Anda dan kemudian tambahkan pengguna / grup yang harus menerapkan kebijakan kata sandi ini, lalu tekan OK.

Langkah 5: Powershell alternatif untuk pembuatan kebijakan kata sandi

Baru - ADFineGrainedPasswordPolicy - ComplexityEnabled: $ true -LockoutDuration: "00:30:00" - LockoutObservationWindow: "00:30:00" - LockoutThreshold: "5" - MaxPasswordAge: "42.00: 00: 00" -MinPasswordAge: “1.00: 00:00 "- MinPasswordLength:" 7 "-Name:" FriendlyNameHere "- PasswordHistoryCount:" 24 "- Precedence:" 5 "-ReversibleEncryptionEnabled: $ false - Server:" domaincontroller.domain.local "

Langkah 6: Terapkan ke grup atau pengguna:

Tambah - ADFineGrainedPasswordPolicySubject - Identity: "CN = FriendlyNameHere, CN = Kontainer Pengaturan Kata Sandi, CN = Sistem, DC = domain, DC = lokal" - Server: "domaincontroller.domain.local" - Subjek: "DNPathToUserOrGroup"

Langkah 7: Rekomendasi Kebijakan Kata Sandi Baik

Akun Tamu dan 'Throwaway'
- Kata sandi sederhana diizinkan, lebih dari 5 karakter, tanpa kedaluwarsa
Staf Biasa
- Kata sandi sederhana diizinkan, lebih dari 12 karakter, kedaluwarsa 30 hari
Staf Keuangan dan Bahan Rahasia
- Kata sandi yang kompleks, lebih dari 12 karakter, 30 hari kedaluwarsa, 12 kata sandi diingat
Staf dan Administrator TIK
- Kata sandi yang kompleks, lebih dari 12 karakter, kedaluwarsa 14 hari, 12 kata sandi diingat