Active Directory Fine-Grained Password Policies

Windows Server 2008 Active Directory Fine-Grained Password Policies Servisi, networkmz iinde bulunan farkl kullanc ve gruplar iin ,farkl password policyleri ve accont lock policyleri oluturmamza imkan vermektedir.

Microsoft Windows 2000 ve Windows Server 2003 Active Directory etki alanlarnda, Active Directory yesi bulunan tm kullanclara tek bir password policysi ve account lock policy uygulanabiliyordu. Bu policy Default Domain Policy olarak bilinmekteydi. Active Directory Fine-Grained Password Policies teknolojisinden nce, bir Domain Yneticisi farkl kullanc ve gruplara, farkl password policysi ve accont lock policysi uygulamak istedii zaman birden fazla etki alan veya parola policysi oluturmas gerekmekteydi.Fakat bu seenekler bir ok yap iin uygun olmuyor ve ynetimi zorlatryordu.

Active Directory Fine-Grained Password Policies teknolojisinden nce bir domain ortamnda zel ilemler yaplmadysa var saylan olarak btn kullanclara uygulanacak Policy yukarda ki resimde grnmektedir.

Varsaylan Default Domain Policysi zerinde herhangi bir deiiklik yapmadysak eer, bir kullanc olutururken veya bir kullancnn parolasn sfrlarken mevcut Default Domain Policy ayarlarna balydk.

Yukarda ki resimde grld gibi Parola ilkesine uymayan bir parola belirlediimiz de alacak olduumuz HATA mesaj yukarda olup bizlerden Default Domain Policysi iinde tanmlanan niteliklerde olmasn art komaktayd.Bu niteliklerden makale devamnda bahsetmekteyim.

Active Directory ierisinde bulunan farkl kullanc ve gruplara farkl password policy' leri oluturabilmek iin AD Ds Fine-Grained Password Policies uygulamasn aktif duruma getireceiz.Ve yapm olduumuz uygulamadan sonra besiktaj.jk domain iinde bulunan Ynetim grubu yesi olan kullanclar ile Futbolcular grubu yesi bulunan kullanclara farkl passwordler belirlenmesini gerekletireceiz.

Uygulamamza Active Directory Domain Servisi zerinde start blmne adsiedit.msc yazarak balyoruz. Adsiedit konsolu zerinde Connect to blmn tklayarak Domain Controllerimiza balanty gerekletiriyoruz.

Name blmne domainimizin ismini (besiktas) ve uzantsn (jk) yazyoruz.

Baarl bir ekilde balanty gerekletirmi olduumuz domain serverimiz zerinde; 1. 2. 3. 4. Domain.uzants[domain controller ismi.uzants] geniletiyoruz. Dc=domain ismi, dc=domain uzants geniletiyoruz. CN=system CN=Password Settings Container blmne eriim gerekletiriyoruz.

Default olarak burada hi bir objemiz bulunmamaktadr. Dizinimiz zerinde sa tu New butonuna basp, Object ksmna tklyoruz.

Create Object ksmnda ilk blmde bir deiiklik yapamyoruz.Next ile ilerliyoruz.

Common-Name blmnde oluturacak olduumuz Fine-Grained Password Policy si iin deValue blmne bir isim veriyoruz.Bu isim Password Settings Container blmnde oluacak olan objenin ismi olacaktr.

Oluturacak olduumuz Policy' nin niteliklerini tamas nerilmektedir.

rnek olarak vermi olduum Value deeri Futbol 3 karakter NoCompisminde olup, futbolcular gurubuna uygulanacak olan bir polisi olduunu belirtiyorum. En az 3 karakterlik bir parola olmas gerektiini ve karmak bir parola istemediimi belirtmi oluyorum.

Password Settings Precedence blmnde, birden fazla (farkl kullanc ve gruplar iin )Fine-Grained Password Policysi oluturacaksak eer Value deerleri nemlidir.

Oluturacak olduumuz her bir Value Deeri bir birinden farkl olmas nerilmektedir.Value deerleri 1 den balamaktadr. Senaryomuza gre ;

ilk Fine-Grained Password Policysini Futbolculara uygulayacam ve deerini 10 verdim.

kinci uygulayacak olduum Fine-Grained Password Policyisini Ynetime uygulayacam ve deerini 20 vereceim.

Ve dier uygulayacak olduum Fine-Grained Password policylerini ayn ekilde devam ettireceim.

Bir kullanc her iki grubun yesi ise Value deerleri bu durumda ncelik kazanmaktadr.Value deeri kk olan Fine-Grained Password Policysi bu kullancya uygulanacaktr.

Dier bir karlaacak olduumuz senaryo ise bir kullanc veya gruba birden fazla Fine-Grained Password Policysi uygulandysa ayn eylem, yani Value deeri kk olan policy uygulanacaktr.

Bir kullanc veya gruba hi bir ekilde Fine-Grained Password Policysi uygulanmadysa Default Domain Policysinde ki Password Policysi uygulanacaktr.

Password reversible encryption status for user accounts (Store passwords using reversible encryption) blmnn deerini False olarak belirliyorum. Bu zelliin kullanlmamasn isteyeceim.Bu gvenlik ayar Varsaylan deer olarak kapal durumdadr.

Eer bizler bu gvenlik ayarn aktif duruma getirmek istersek

Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\

Yolunu izleyip Domain Ortammzda ilgili deeri deitirebiliriz.

Bu politikann yapm olduu ilem, kullanclarmzn kimlik bilgilerini ifreleyerek saklanmasn salamaktr. Bu politikadan etkilenecek olan protocol ve uygulamalar IAS, IIS vb..servislerdir.

Password History Length for user accounts blmnde Value deerini 24 olarak belirtiyorum. Belirtmi olduum bu deer , uygulam olduum bu policyden etkilenen kullanc veya gruplarn ayn parolay 24 farkl parola deiikliinden sonra tekrardan verebilecei anlamna gelmektedir.

Yani bir kullancnn ilk semi olduu parola 123 olsun.Parola deitirme gn geldi ve tekrardan deitirdii zaman ayn parolay yani 123 parolasn tekrardan veremeyecektir.123 parolasn ,bir kullanc tekrardan vermek isterse en az 24 farkl parola vermelidir. 24 farkl paroladan sonra sfrlamaya gidecei iin 25 nci parola olarak tekrardan 123 parolasn atayabilir duruma geliyor.

Bu policy Default Domain Policysinde Enforce password historyolarak bilinmektedir. Default olarak aktif durumdadr. Default domain Policysinden bu deeri deitirmek istersek aada ki yolu takip etmemiz gerekmektedir.

Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\

Enforce password history policysi varsaylan olarak; Domain Controller Serverlarda 24 dr. Stand-alone serverlarda 0 dr Member serverlarda ise Domain Controller zerinde ne uygulandysa aynsdr.

Password complexity status for user accountsblmnde Value deerini FALSE olarak veriyorum. Vermi olduum bu deer ile Fine-Grained Password Policysinin uygulanacak kullanc ve gruplarnn complex (karmak) parola kullanmalarn zorunlu duruma getirmiyorum.

Bu policy Default Domain Policysinde Passwords must meet complexityolarak bilinmektedir. Default olarak aktif durumdadr. Default domain Policysinden bu deeri deitirmek istersek aada ki yolu takip etmemiz gerekmektedir.

Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\

Karmak (complexity) parolasn oluturabilmemiz iin, bir parola iinde, aada ki karakterlerden en az bir tanesi olmak zorundadr.

Byk harf Kk harf Rakam Karakter

: : : :

A, B, C .. a, b, c .. 0, 1,2, 3, 4, 5, 6, 7, 8, 9 ` ~ ! @ # $ % ^ & * ( ) _ + - = { } | \ : " ; ' <> ? , . /

Minimum Password Length for user accounts blmnde Value deerini 3 olarak belirtiyorum. Belirtmi olduum bu deer , uygulam olduum bu policyden etkilenen kullanc veya gruplarnn oluturacak olduklar parolalarn en az 3 karakter olmasn art kouyorum. Bu deeri 1 ile 14 arasnda verabilmekteyiz.

Bu policy Default Domain PolicysindeMinimum password lengtholarak bilinmektedir. Default olarak aktif durumdadr. Default domain Policysinden bu deeri deitirmek istersek aada ki yolu takip etmemiz gerekmektedir.

Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\

Minimum password lengthpolicysi varsaylan olarak; Domain Controller Serverlarda 7 dir. Stand alone serverlarda 0 dr Member serverlarda ise Domain Controller zerinde ne uygulandysa aynsdr.

Minimum Password age for user accounts blmnde Value deerini 5:00:00:00 olarak belirtiyorum. Belirtmi olduum bu deer , uygulam olduum bu policyden etkilenen kullanc veya gruplarn parolasnn minimum 5 gn geerli olacan belirtiyorum. 5 00 00 00 : Gn : Saat : Dakika : Saniye olarak deerler verebilmekteyiz.

Bu policy Default Domain Policysinde Minimum password age olarak bilinmektedir. Default olarak aktif durumdadr ve 1 gn olarak yaplandrlmtr. Default domain Policysinden bu deeri deitirmek istersek aada ki yolu takip etmemiz gerekmektedir.Verebilecek olduumuz deerler1 ile 998 gn arasnda olmaldr. Eer bir parolann derhal deitirilmesini istiyorsak deeri 0 olarak atamamz gerekmektedir.

Default domain Policysinden bu deeri deitirmek istersek aada ki yolu takip etmemiz gerekmektedir.

Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\

Minimum password lengthpolicysi varsaylan olarak; Domain Controller Serverlarda 1 dir. Stand alone serverlarda 0 dr Member serverlarda ise Domain Controller zerinde ne uygulandysa aynsdr.

Maximum Password age for user accounts blmnde Value deerini 24:00:00:00 olarak belirtiyorum. Belirtmi olduum bu deer , uygulam olduum bu policyden etkilenen kullanc veya gruplarn parolasnn maxsimum 24 gn geerli olacan belirtiyorum. 24 gn sonrasnda parola deitirilmesi iin kullanclarmz ynlendirilecektir.

24 00 00 00

: Gn : Saat : Dakika : Saniye olarak deerler verebilmekteyiz.

Bu policy Default Domain Policysinde Maximum password age olarak bilinmektedir. Default olarak aktif durumdadr ve 42 gn olarak yaplandrlmtr. Default domain Policysinden bu deeri deitirmek istersek aada ki yolu takip etmemiz gerekmektedir. Atayacak olduumuz deer1 ile 999 gn arasnda olmaldr.Eer bir kullancnn parolasnn hi bir zaman deitirilMEsin istiyorsak Passwords Never Expire blmn semeliyiz.

Default domain Policysinden bu deeri deitirmek istersek aada ki yolu takip etmemiz gerekmektedir.

Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\

Lockout threshold for lockout of user accounts blmnde Value deerini 2 olarak veriyorum. Vermi olduum bu deer ile Fine-Grained Password Policysinin uygulanacak kullanc ve gruplarnn 2 seferden fazla yanl parola girmeleri durumunda hesaplarnn kilitlenmesini belirtiyorum.

Default domain Policysinden bu deeri deitirmek istersek aada ki yolu takip etmemiz gerekmektedir.

Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy\

Varsaylan olarak bu deer 0 dr. Yanl parola girilmesi sonucunda Hi bir ekilde bir hesap kilitlenmemektedir.Bu deeri 0 ile 999 arasnda deitirebilmekteyiz.

Observation Windows for lockout of user accounts blmnde Value deerini0:0:10:00 olarak veriyorum. Vermi olduum bu deer ile Fine-Grained Password Policysinin uygulanacak kullanc ve gruplarnn, yanl parola giriinden sonra kilitlenen kullanc hesaplarnn en az 10 dakika kilitli durumda kalmasn istiyorum.

0 0 10 00

: Gn : Saat : Dakika : Saniye olarak deerler verebilmekteyiz.

Default domain Policysinden bu deeri deitirmek istersek aada ki yolu takip etmemiz gerekmektedir.

Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy\

Varsaylan olarak bu deer 0 dr. Yanl parola girilmesi sonucunda kilitlenen kullanc hesabnn tekrardan aktif duruma gelebilmesi Bu deeri 1 ile 99.999 dakika arasnda deitirebilmekteyiz.

Lockout duration for lockout of user accounts blmnde Value deerini 0:0:10:00 olarak veriyorum. Vermi olduum bu deer ile Fine-Grained Password Policysinin uygulanacak kullanc ve gruplarnn, yanl parola giriinden sonra kilitlenen kullanc hesaplarnn en az 10 dakika kilitli kaldktan sonra almas gerektiini belirtiyorum.

0 0 10 00

: Gn : Saat : Dakika : Saniye olarak deerler verebilmekteyiz.

Default domain Policysinden bu deeri deitirmek istersek aada ki yolu takip etmemiz gerekmektedir.

Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy\

Varsaylan olarak bu deer 0 dr. Yanl parola girilmesi sonucunda kilitlenen kullanc hesabnn tekrardan aktif duruma gelebilmesi Bu deeri 1 ile 99.999 dakika arasnda deitirebilmekteyiz.

Kolay, ama detayl bilgilendirmelerin ardndan Fine-Grained password policymizi oluturmu durumdayz. Finish butonuna basarak policy sihirbazmz sonlandryoruz.

Oluturmu olduumuz Futbol 3 karakter NoComp objesine ift tklyoruz. Attribute Editor bolumunde msDSPSOApplies To blmne baktmz zaman <not set>olduunu gryoruz ki bu policynin daha dorusu attribute nin hi bir kullanc veya gruba uygulanmadn grebilmekteyiz.

Attribute mizi seip edit butonuna basyoruz.

Add Windows Account blmne tklayp AD iinde, uygulamak istediimiz kullanc ve grubu ekliyoruz.

Oluturmu olduumuz Attribute futbolcular grubunu etkileyecektir.

msDS-PSOApplies To blmne baktmz zaman <not set> olarak grdmz blmn de artk futbolcular grubunun SID bilgisini grebilmekteyiz.

Futbolcular grubunun yesi olan Filip Holosko nun parolasn deitireceiz.

Filip Holosko nun parolasn Default Domain Policysinden ETKILENMEKSIZIN bir parola oluturacaz. Oluturacak olduumuz parola en az 3 karakter ve karmak olmayan bir parola olacaktr.

Parolay baarl bir ekilde deitirdik.

Futbolcular gurubunun yesi olmayan, AD yesi olan Serdar BILGILI hesabnda ise ayn ilkelere uygun bir parola belirleyememekteyiz.Sebebi ise Serdar Bilgili Kullancs Ynetim gurubu iinde bulunan bir kullancdr ve Default Password Policy sinden etkilenmektedir.