Windows Server 2008 üzerinde Granular Password

Windows Server 2008 ile birlikte sunulan bir diğer yeni özellikde Granular Password.

Peki nedir Granular Password.Bildiğimiz gibi Windows Server 2008 öncesi sistemlerde (Windows Server 2000/2003) varolan organizasyonumuz için sadece bir adet password policy oluşturabiliyorduk.Windows Server 2008 ile birlikte bu kısıtlama ortadan kaldırıldı.Artık domain içerisinde user yada OU bazlı password policy’leri oluşturabilirsiniz.Farklı administratorlar için farklı password tanımları yapabilirsiniz.

Windows Server 2008 üzerinde “œGranular Password Settings” olarak sunulan bu ayarı gerçekleştirebilmeniz için Active Directory şeması üzerinde birkaç değişiklik yapmanız gerekmektedir.Şema üzerine adsiedit aracını kullanarak ekleyeceğimiz objeler ile Granular Password Settings özelliğini aktif hale getirebilirsiniz.Şimdi bu işlemleri sırası ile gözden geçirelim.

Schema üzerine objeleri eklemek için Adsiedit aracını kullanacağız.Windows Server 2008 ile birlikte tümleşik gelen bu aracı çalıştırmak için Başlat>Çalıştır>adsiedit.msc yazarız.

Şimdi adsiedit içerisinde SYSTEM dizinine inerek Password Settings Container “˜e sağ tıklayalım ve New>Object “˜i seçelim.

Şimdi ufak sihirbaz aracılığı ile schema üzerinde bir obje oluşturabilirsiniz.İlk ekranda varsayılan class seçerek devam ederiz.

Şimdiki pencerede oluşturacağınız policy için bir isim belirleyebilirsiniz.Eğer farklı password policyler ile çalışacaksanız ayırtedilebilir bir isim kullanmanız yararlı olacaktır.

Burada farklı Password Settings Objeleri arasındaki önceliği belirleyebilirsiniz.Bir kullanıcı farklı objeler tarafından etkileniyorsa buradaki değere göre seçim yapılacaktır.Bu değer azaldıkça öncelik yükselecektir.

Bu pencerede şifrelerin veritabanında reversible encryption(ters çevrilebilir şifreleme) şeklinde saklanıp saklanmayacağını belirtebilirsiniz.Boolean yani true/false şeklinde bir değer giriniz.

Bu bölümde önceden kullanılan kaç şifrenin hafızada tutulacağını belirtebilirsiniz.

Şifrenin complex yapıda olup olmaması ile ilgili boolean(true-false) değeri giriniz.

Şifrenin minumum uzunluğunu belirtiniz.Dikkat ettiyseniz burada 3 değerini verdik.Halbuki Default Domain Policy’deki değer 7 idi.Sihirbaz bittiğinde oluşturduğumuz bu objeyi finans OU’suna atadığımızda hangi policy’yi aldığını bu şekilde anlayabileceğiz.

Şifre için minumum age değeri ile kullanıcıların şifrelerini değiştirmeden kullanabilecekleri süreyi belirleyebilirsiniz.Burada 864000000000 değeri 1gün’e takabül etmektedir.

Şifrenin geçerli olacağı gün sayısını yine aynı değerle belirtiriz.Burada 36288000000000 42 güne denk gelmektedir.

Kaç yanlış deneme sonucu hesabın kilitleneceğini belirtiriz.

Başarısız denemelerin ne kadar süre sonunda resetleneceğini belirtiriz.Belirttiğimiz değer 6 dakikadır.

Birçok başarısız deneme sonucunda hesab objesinin ne kadar süre ile kilitli kalacağını belirtiriz.Belirttiğimiz değer 6 dakikadır.

Sihirbazımızı bitirerek objemizi oluşturduk.Finish ile sihirbazı sonlandırın.

Gördüğümüz gibi Password Settings Container içerisine objemizi oluşturduk.

Şimdi oluşturulan bu policy’yi belirli bir alana atamamız gerekmektedir.Biz sadece finans OU’su içindeki bir user için password policy oluşturduğumuz için buraya atama yapalım.Bunun için oluşturduğunuz policy üzerine sağ tıklayarak properties’i seçiniz.

Bizi ilgilendiren kısım msDS-PSOAppliesTo bölümüdür.

Edit’e basarak açılan pencerede alanı belirtebilirsiniz.Bunun için “œAdd DN”e basalım.Bu kısımda alanı belirtmek için Distinguished Name yazmamız gerekli.Bunun için http://msdn2.microsoft.com/en-us/library/aa366101(VS.85).aspx makalesini referans alabilirsiniz.Finansman OU’su içerisindeki bir kişi için aşağıdaki gibi bir değer işimizi görecektir.

OK diyerek işlemi tamamlayalım.Şimdi Finansman OU’su altındaki Anil Erduran kullanıcısı için bir şifre değişikliği gerçekleştirebiliriz.Hatırlayacağımız gibi oluşturduğuımuz password policy’de complexity false değerini vermiş ve minumum 3 karakterlik şifre oluşturabileceğimizi belirtmiştik.Yalnız varolan domain password policy’de bu değer 7 idi.

Gördüğü gibi oluşturduğumuz yeni password policy finansman OU’su altındaki ilgili kullanıcı için geçerli kılınmıştır.Bu şekilde sizde organizasyonunuzun yapısına göre farklı objelere farklı password policyler uygulayabilirsiniz.

Leave a Reply

Your email address will not be published. Required fields are marked *

2 + = 10