1. Ana Sayfa
  2. Windows Server
  3. Windows Server 2012 Fine Grained Password Policy (FGPP)

Windows Server 2012 Fine Grained Password Policy (FGPP)

WİNDOWSYAZISIZ

Fine Grained Password Policy Active Directory ortmanda Active Directory Administrative Center(ADAC) üzerinden kullanıcı ve gruplara password policy uygulamamıza olanak sağlıyor. Windows Server 2008 ailesi ve öncesinde direkt olarak domain bazlı yapabildiğimiz bu password politikasını artık kullanıcı ve gruplara özel yapabiliyoruz.

Bu makalemde size bu konuyu bir senaryo örneğiyle göstereceğim.

“Domain genelinde password politikası planlanmaktadır. Bu IT kullanıcıları için min 12 karakter, 14 gün max kullanım süreli olacak, IT personeli hariç tüm kullanıcılar için 8 kararkter ve max 30 gün kullanım olacktır. Ayrıca yanlış password giriş sayısı 3 olacak, kilitli kalma süreleri 45 dk olacak, 45 dk sonra müdahale olmazsa kilit kalkacaktır.”

Bu yapıyı hazırlayamaya başlayalım.

Active Directory Administrative Center üzerinden up(local) > System > Passsword Settings Container sekmesine gidelim.

  • Name: Yeni oluşturacağımız PSO için yeni ayırt edici bir isim belirliyoruz.
  • Precedence: Burada PSO’ nun öncelik sırasını belirliyoruz ki bu sıra etkilenen user veya grupların birden fazla PSO’ ya maruz kalması durumunda devreye girecektir. Nekadar küçük bir değer olursa diğerlerini dikkate almadan Precedence değeri küçük olan etkin olur.
  • Enforce Minimum Password Lenght: Kullanıcılar için belirlenecek minimum password karakter sayısıdır.
  • Enforce Password History: En son kullanılan kaç şifrenin tekrar kullanılamayacağını belirlediğimiz alandır.
  • Password Must Meet Complexity Requirements: Oluşturulacak olan şifrelerin komplex olup, olmayacağı bu alandan belirleniyor.
  • Store Password Using Reversible Encryption: Bu alan default olarak boş geliyor ve best practice’ de de kullanımı önerilmiyor. Çünkü bu alanı işaretlersek, belirlenecek şifrenin minimum güvenlikle şifrelenip, saklanacağı belirtiliyor.
  • Password Age Options–>Enforce Minimum Password Age: Şifrenin değiştirilebilmesi için geçmesi gereken süre.
  • Enforce Maximum Password Age: Şifrenin geçerlilik süresi.
  • Account Lockout–>Enforce Account Lockout Policy : kutucuğu işaretlenerek, Lockout parametreleri değiştirilebilir oluyor.
  • Number of Failed Logon Attempts Allowed:Bu alanda şifrenin kaç kez başarısız denemeden sonra account’ un kitleneceği bilgisi belirleniyor.
  • Reset Failed Logon Attempts Count After: Hatalı denemeden sonra kilitlenen account’ un kaç dakika sonra tekrardan açacağını belirlediğimiz kısımdır.
  • Account Will Be Locket Out–>For a duration of (mins): Kilitlenen account’un kaç dakika sonra kendiliğinden tekrardan aktif olacağını belirlediğimiz alandır.
  • Until an Administrator Manually Unlocks The Account: Bu seçeneği seçersek, kilitli account’ un sadece Administrator tarafından manuel olarak açılabileceği, Administrator açana kadar kilitli olarak kalacağını belirlediğimiz alandır.

Yukarıda bütün seçeneklerin ne işe yaradığından bahsetmiştim şimdi bizim senaryomuza göre ihtiyacımız olan ayarları yapıyoruz ve Directly Applies To kısmından Add diyoruz.

Burada bu PSO’nun hangi üyelik(ler) ya da grup(lar)a etki edeceğini ayarlıyoruz. Kendi senaryomuza göre biz IT grubumuzu seçiyoruz.

OK diyerek bitiriyoruz.

Gördüğünüz gibi PSO‘muz oluşmuş durumda.

IT grubumuzu buluyor ve Properties‘ine gidiyoruz.

Password Settings sekmesinden grubun bağlı olduğu PSO‘yu görüyoruz. İşlemimizi başarılı bir şekilde tamamlandı.

Yorum Yap

Yorum Yap