Políticas de senha diferentes no mesmo dominio

No Windows 2000 e 2003, é possível ter somente uma 1 política de senha configurada para o domínio todo. Por mais que seja configurada uma nova GPO (além da Default) em uma OU e definido todos os parametros da diretiva (complexidade, comprimento, histórico, bloqueio…), ela não vai funcionar. Justamente porque esta diretiva é em nível de domínio (sobrepõe de OU e local e não pode ter mais de uma no domínio).

Pois bem, acredito que muitos já presenciaram alguma resistência de alguma área do negócio, querendo a sua senha fosse menor que X caracteres, ou que não precisasse ser complexa ou até que não fosse bloqueada após tantas tentativas.

No Windows 2008, seus problemas acabaram :) se o nível funcional do seu domínio é Windows 2008, você pode ter uma política de senha granular, aplicada em grupos de Segurança. Ótimo, não?

Segue tutorial de como criar uma política de senha personalizável e aplicá-la em determinado grupo.

1º Abra o ADSIEdit e conecte (botão direito, conectar) no seu dominio – Dê OK

2º Expanda seu dominio, chegue até System / Password Settings Container – Crie um novo objeto (PSO)

3º Selecione o msDS-PasswordSettings e avance

4º Crie um nome para política (vou chamá-la de Policy Restric) – Avance

5º Agora, aparecerá os atributos que vamos configurar. O primeiro é sobre a procedência

OBS: Este é um atributo novo – ele é usado para definir o PSO resultante do usuário (se um usuário estiver em 2 grupos, com PSO diferentes, será aplicado o com valor mais baixo.

6º Próximo campo: Criptografia reversível (TRUE ou FALSE)

7º Histórico de senha

8º Complexidade de senha

9º Duração mínima da senha

10º Tempo de vida mínimo da senha

(note que a variável – synatax é de Duração, então deve usar 0:00:00:00 que é equivalente a dia, hora, minuto, segundo)

11º Tempo de vida máximo

12º Limite de bloqueio de conta

13º Zerar contador – desbloquear

14º Duração do bloqueio

15º Finalize (caso necessário, pode adicionar outros atributos que não foram listados)

Agora, vamos adcionar o grupo que recerebá este PSO.

– Acesse as propriedades do objeto criado

– Localize o atributo msDS-PsoAppliesTo e clique em editar

– Adicione o grupo (no meu caso, adicionei o grupo chamado Restrito)

Pronto. PSO criado!

– VALIDE SE O USUÁRIO ESTÁ RECEBENDO o PSO correto

* Se o campo msDS-ResultantPSO não aparecer, em filtro, marque para aparecer atributos construídos

Para Visualizar e Gerenciar so PSOs, acesse:

* Com exibição de recursos avançados

Maiores detalhes sobre os campos:

  • Impor histórico de senha (msDS-PasswordHistoryLength)
  • Tempo de vida máximo da senha (msDS-MaximumPasswordAge)
  • Tempo de vida mínimo da senha (msDS-MinimumPasswordAge)
  • Duração mínima da senha (msDS-MinimumPasswordLength)
  • As senhas devem atender a requisitos de complexidade (msDS-Password-ComplexityEnabled)
  • Armazenar senhas usando criptografia reversível (msDS-PasswordReversibleEncryptionEnabled)

Essas configurações também incluem atributos para as seguintes configurações de bloqueio de conta:

  • Duração do bloqueio de conta (msDS-LockoutDuration)
  • Limite do bloqueio de conta (msDS-LockoutThreshold)
  • Zerar contador de bloqueio de conta após (msDS-LockoutObservationWindow)

Referência Microsoft

[ ]´s

@grvalle

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s