حلوگیری از expire شدن پسورد های domain
سلام حضور اساتید محترم ، من پالیسی درست کردم و اون روی سر شاخه domainام گذاشتم تا پسورهای کل شبکه تاریخ انقضا نداشته باشن ولی امروز صبح که log in شدم دیدم سیستم پیغام میده که دو روز دیگه پسورد expire میشه و باید change کنم ، مسیری که رفتم و تنظیماتی که انحام دادم به صورت زیره :
policies\windows setting\account policies\password policy
گزینه های maximum password age و minimum password age رو روی 999 روز تنظیم کردم .اگه جایی اشتباه کردم ممنون میشم راهنمایی کنید.
6 پاسخ
تنظیمات Password Policy
برای پیکربندی یک password policy تمامی Domain User ها تاثیرگذار خواهد بود
گامهای زیر را دنبال کنید
Administrative tools->Domain security policy->account policies->password policy
تنظیمات که برای password policy موجود میباشد
Enforce password history
Maximum password age
Minimum password age
Minimum password length
Password must meet complexity requirements
Store passwords using reversible encryption
Enforce password history
این تنظیمات مشخص میکند چند تا passwordواحد باید ساخته شود برای هر user account قبل از اینکه از password قدیمی دوباره استفاده شود
Maximum password age
این تنظیمات تعداد روزهایی که یک password میتواند استفاده شود قبل از زمانی که باید عوض شود را مشخص میکند
password ها میتواند تنظیم شوند تا انقضا یابند بین 99-1 روز یا اینکه شما میتوانید password ها را پیکربندی کنید بطوری که هرگز به انقضا نرسند( بوسیله تنظیمات اعداد,به 0 روز )
زمانیکه سن password به مقداری حول صفرتنظیم شود ,کمترین مقدار سن password باید تنظیماتی کمتر از بیشترین سن password داشته باشد.اگر بیشترین سن password صفر باشد کمترین سن password میتواند بین اعداد 998-0 روز باشد
Minimum password age
این تنظیمات مشخص میکند تعداد روزهایی که password باید استفاده شود قبل از اینکه بخواهد reset شود این تنظیمات جلوگیری میکند user ها را از اینکه بطور دایره وار حول یک سری از password ها بسرعت حرکت کنند تا زمانی که password اصلی استفاده میشود
Minimum password length
این تنظیمات خود تعبیر است.شما میتوانید تنظیم کنید طول مقدار کمترین password را بین 1و14 کاراکتر
کمترین طول مقدار صفر تنظیم میشود که بدین معنی است که password فقط یک جای خالی است
Password must meet complexity requirements
این دستور تنظیم on و off است که complexity روشن باشد یا خاموش را مشخص میکند
توجه کنید دوستان Password Policy یکی از Policy های استثناء هست که فقط و فقط شما باید در Default Domain Policy تغییراتش رو اعمال کنید و همه GPO های دیگه از این Policy تبعیت می کنند ، بنابراین شما اگر در Policy ای غیر از Default Domain Policy اینکار رو انجام بدید هیچ تاثیری نخواهد داشت و به همین دلیل هست که به Password Policy در اصطلاح Per Domain Unique هم میگن ، این در ویندوز سرور 2003 به هیچ عنوان قابل تغییر نبود اما در ویندوز سرور 2008 شما می تونید به ازای هر OU یک Paswword Policy جدید ایجاد کنید که البته با استفاده از ADSIEDIT انجام میشه و اصلا هم ساده نیست ، بهش میگن PSO Object ، شما به نظرم Policy اشتباهی رو ویرایش کردید از روی کلاینتی که داره این پیام رو میده یک GPresult بگیرید و نتیجه رو بررسی کنید که چه Password Policy داره اعمال میشه.
در کنسول Group Policy Management یک GPO وجود داره با نام Default Domain Policy که به تمام دامین شما اعمال میشه اون رو Edit کنید و به مسیر ذکر شده برید بصورت پیشفرض Maximum password age در اون تنظیم شده ، میتونید اون رو ویرایش کرده و به شکل مورد نظر تنظیم کنید مثلا بهش عدد 900 رو بدید اگر هم نمیخواهید تنظیمات پیشفرض پالیسی رو تغییر بدید میتونید اون رو تغییر ندید ولی یک GPO ایجاد کنید و در اون Maximum password age رو بعنوان مثال برابر 900 قرار بدید و بعد اون رو Enforced کنید تا در اعمال به کلاینتهای مشخص شده در بالاترین اولویت قرار بگیره و پالیسی Maximum password age در Default Domain Policy نادیده گرفته بشه . و در نهایت هم از دستور gpupdate /force برای اعمال پالیسی استفاده کنید
ضمنا Minimum password age حداقل زمان اعتبار پسورد رو مشخص میکنه و تغییر اون مشکل شما رو حل نمیکه . صحبت دوستمون آقای صادقپور رو هم در رابطه با تغییر Password never Expire در کنسول dsa.msc مد نظر قرار بدید .
ضمن این که در کنسول DSA.msc که مربوط به تنظیمات AD شماست روی کاربر مربوطه راست کلیک کنید و Property بگیرید و تیک Password never Expire رو هم بزنید.
احتمالاً پالیسی های پیشفرض مورد تغییرات قرار گرفته اند
به لینک زیر برید
ممنونم UNITY جان نکته خوبی بود . ولی مهندس من با ویندوز سرور 2008 R2 تست کردم وقتی یک GPO جدید بسازیم و اون رو Enforced کنیم ، نسبت به Default Domain Policy در اولویت بالاتری قرار میگیره و اعمال میشه !!! با این حساب در صورتی که GPO رو Enforced کنیم پالسیهای موجود در اون حتی نسبت به Default Domain Policy هم در ارجعیت قرار میگیرند .