Group’lara Password Policy Tanımlama
Merhaba,
Asagidaki adimlar gerçekleslestirilerek istediginiz gruba password policy uygulayabilirsiniz.
ADSI Edit’ten Domain içinde CN=System, onun altinda CN=Password Settings Container bölümüne sag tiklayip new object diyebiliriz.
Next diyerek ilerliyoruz.
Value tipi olarak görülmesini istediginiz ismi yazabilirsiniz.
MsDS-PasswordSettingsPrecedence deger sifirdan büyük olmak zorundadir.Eger birden fazla PSOs var ise en düsük priority degeri olan PSO’nun önceligi olmaktadir.
MsDS-PasswordReversibleEncryptionEnabled
Bu deger kullanici hesaplari için dönüstürülebilir, encryption sifresi durumunu içerir.Genelde uygulanmasi önerilmeyen bir uygulamadir.Bu deger kullanilacaksa TRUE kullanilmayacak ise FALSE degeri kullanilmalidir.
MsDS-PasswordHistoryLength
Bu deger kullanicinin daha önce kullanmis oldugu password’lerden kaçinciya kadar olanlari kullanamayacagini belirtir.Örnek olarak 3 yazarsaniz en son kullanilan 3 sifre kullanilamayacaktir.Bu deger için 0-1024 arasi bir deger girilebilir.
MsDS-PasswordComplexityEnabled
Bu deger Password Complexity kullanilip kullanilmayacagini belirtir.Eger Password Complexity kullanilacak ise TRUE kullanilmayacak ise FALSE degeri girilmelidir.
Password Complexity için sifrenin;
Password en az 8 karakter uzunlugunda olmalidir.
Password izleyen bes karakter kategorisinden en az üçünü içermelidir.
Ingilizce büyük harf karakterleri (A - Z)
Ingilizce küçük harf karakterleri (a – z)
(0 – 9) arasi temel rakamlar.
Alfa-numerik olmayan karakterler.(Örnegin:!,$,#,%)
MsDS-MinimumPasswordLength:Bu deger Password’ün en az kaç karakter olabilecegini belirtir. 0 – 255 karakter arasi girilebilir.
MsDS-MinimumPasswordAge
Bu güvenlik ayari Password’un degistirilmeden önce kullanici tarafindan ne kadar zaman periyodunda ( Gün olarak ) kullanilmasi gerekltigini belirtir.Bu degeri 1 ile 998 arasinda belirleyebilirsiniz ya da hemen degisimin saglanabilmesi için 0 olarak verebilirsiniz. Minimum password age, Maximum password age’den daha az olmak zorundadir.
Tabi attribute’da bu günlük degeri arayüze göre uygulamak biraz daha zahmetli bir uygulama. Bir gündeki saniye süresi hesaplanarak girilmelidir.Bu hesabi -24*60*60*(10^7) = -864000000000 olarak hesaplayabilirsiniz. Bu da -24*60*60 = -86400 yapar *(10^7) içinde 7 sifir koymak gerekir ve bu da -864000000000 yapar.
msDS-MaximumPasswordAge: Bu güvenlik ayari; kullanicinin Password’unun ne zaman süresinin dolacagini bir zaman periyodunda ( Gün Olarak ) belirtir.Bu deger 1 ile 999 arasinda kullanilabilir.Eger deger verisi 0 olarak ayarlanir ise bu Password’un süresiz olacagini yani expire olmayacagini belirtir. Buradaki süreyi hesaplama ayni “msDS-MinimumPasswordAge” degerinde oldugu gibidir.
msDS-LockoutThreshold:Bu deger kaç kez yanlis password girisinde kullanici hesabinin kilitlenecegini belirtir.Bu deger 0 ile 65535 arasinda verilebilir.
msDS-LockoutObservationWindow: Bu deger arayüzdeki “Reset account lockout counter after” degeri ile aynidir.Bu deger basarisiz bir logon denemesi olduktan sonra basarisiz logon denemelerini sayan sayacin sifirlanmasi için geçecek süreyi belirtir. 1 ile 99,999 dakika belirtilebilir fakat bu deger tanimlanmis ise “msDS-LockoutDuration” degeri ile ayni ya da ondan daha az olmalidir. Örnek olarak bu degerin 20 dakikada sifirlanmasini istiyorsaniz bu durumda -20*60*(10^7)=-12000000000 olarak girmelisiniz.
msDS-LockoutDuration : “msDS-LockoutThreshold” degerinde belirtilen adet kadar yanlis sifre girildiginde hesabin ne kadar süre ile kilitli kalacagini belirtir. Örnek olarak bu degerin 20 dakikada sifirlanmasini istiyorsaniz bu durumda -20*60*(10^7)=-12000000000 olarak girmelisiniz.
Finish diyoruz.Daha sonra active directory user and computers’dan, Advanced Features’i seçip system’den password settings container’a ulasabilirsiniz.
Olustrudugumuz PSO dosyasina sag tiklayip properties’den attribute editor bölümüne gelelim.
Description’a policy için bir açiklama yazabiliriz.
MsDS-PSO Applies To bölümünden edit diyerek hangi user veya grup’a uygulamak istiyorsak seçebiliriz.
Tesekkürler,
Sinem Erdem.