No Windows 2000 e 2003, é possível ter somente uma 1 política de senha configurada para o domínio todo. Por mais que seja configurada uma nova GPO (além da Default) em uma OU e definido todos os parametros da diretiva (complexidade, comprimento, histórico, bloqueio…), ela não vai funcionar. Justamente porque esta diretiva é em nível de domínio (sobrepõe de OU e local e não pode ter mais de uma no domínio).
Pois bem, acredito que muitos já presenciaram alguma resistência de alguma área do negócio, querendo a sua senha fosse menor que X caracteres, ou que não precisasse ser complexa ou até que não fosse bloqueada após tantas tentativas.
No Windows 2008, seus problemas acabaram :) se o nível funcional do seu domínio é Windows 2008, você pode ter uma política de senha granular, aplicada em grupos de Segurança. Ótimo, não?
Segue tutorial de como criar uma política de senha personalizável e aplicá-la em determinado grupo.
1º Abra o ADSIEdit e conecte (botão direito, conectar) no seu dominio – Dê OK
2º Expanda seu dominio, chegue até System / Password Settings Container – Crie um novo objeto (PSO)
3º Selecione o msDS-PasswordSettings e avance
4º Crie um nome para política (vou chamá-la de Policy Restric) – Avance
5º Agora, aparecerá os atributos que vamos configurar. O primeiro é sobre a procedência
OBS: Este é um atributo novo – ele é usado para definir o PSO resultante do usuário (se um usuário estiver em 2 grupos, com PSO diferentes, será aplicado o com valor mais baixo.
6º Próximo campo: Criptografia reversível (TRUE ou FALSE)
7º Histórico de senha
8º Complexidade de senha
9º Duração mínima da senha
10º Tempo de vida mínimo da senha
(note que a variável – synatax é de Duração, então deve usar 0:00:00:00 que é equivalente a dia, hora, minuto, segundo)
11º Tempo de vida máximo
12º Limite de bloqueio de conta
13º Zerar contador – desbloquear
14º Duração do bloqueio
15º Finalize (caso necessário, pode adicionar outros atributos que não foram listados)
Agora, vamos adcionar o grupo que recerebá este PSO.
– Acesse as propriedades do objeto criado
– Localize o atributo msDS-PsoAppliesTo e clique em editar
– Adicione o grupo (no meu caso, adicionei o grupo chamado Restrito)
Pronto. PSO criado!
– VALIDE SE O USUÁRIO ESTÁ RECEBENDO o PSO correto
* Se o campo msDS-ResultantPSO não aparecer, em filtro, marque para aparecer atributos construídos
Para Visualizar e Gerenciar so PSOs, acesse:
* Com exibição de recursos avançados
Maiores detalhes sobre os campos:
- Impor histórico de senha (msDS-PasswordHistoryLength)
- Tempo de vida máximo da senha (msDS-MaximumPasswordAge)
- Tempo de vida mínimo da senha (msDS-MinimumPasswordAge)
- Duração mínima da senha (msDS-MinimumPasswordLength)
- As senhas devem atender a requisitos de complexidade (msDS-Password-ComplexityEnabled)
- Armazenar senhas usando criptografia reversível (msDS-PasswordReversibleEncryptionEnabled)
Essas configurações também incluem atributos para as seguintes configurações de bloqueio de conta:
- Duração do bloqueio de conta (msDS-LockoutDuration)
- Limite do bloqueio de conta (msDS-LockoutThreshold)
- Zerar contador de bloqueio de conta após (msDS-LockoutObservationWindow)
Referência Microsoft
[ ]´s
@grvalle
Gustavo Valle 