===== Раздельные (гранулированные) политики паролей Fine-Grained Password Policy в Active Directory =====
Раздельные (гранулированные) политики паролей **Fine-Grained Password Policies (FGPP)** позволяют создать отдельные политики паролей для определенных пользователей или групп. Множественные политики паролей FGPP доступны, начиная с версии Active Directory в Windows Server 2008. В предыдущих версиях AD 2000 можно было создать только одну политику паролей в каждом домене (в рамках Default Domain Policy).
В этой статье мы покажем, как создать и настроить раздельные политики управления паролями (Password Setting Objects) в домене.
===== Множественные политики управления паролями — Fine-Grained Password Policies =====
Fine-Grained Password Policies позволяют администратору создать в одном домене несколько специальных политик управления паролями **(Password Settings Policy — PSO)**. В PSO объектах задаются требования к паролям (длина, сложность, история) и настройки блокировки учетных записей. Политики PSO можно назначать на конкретных пользователей или группы, но не на контейнеры (OU) Active Directory. Если к пользователю/группе привязана политика PSO, то настройки парольной политики из GPO Default Domain Policy к нему более не применяются.
С помощью политик FGPP можно задать более высокие требования на длину и сложность пароля для учетных записей администраторов, сервисных учетных записей или пользователей, имеющих внешний доступ в домена (через VPN или DirectAccess).
Основные требования для использования множественных политик паролей FGPP в домене:
* Функциональный уровень домена Windows Server 2008 или выше;
* Парольные политики можно назначить на пользователей или глобальные (!) группы безопасности (global security);
* FGPP политика применяется целиком (нельзя часть настроек описать в GPO, а часть в FGPP).
===== Настройка Password Settings Policy в Active Directory =====
Вы можете создавать и редактировать парольные политики Fine-Grained Password Policies из графического интерфейса консоли **Active Directory Administration Center (ADAC)**.
В этой версии AD также доступны корзина Active Directory, позволяющая восстановить удалённые объекты, и управляемые служебные учетные записи (gMSA).
В данном примере мы покажем, как создать и назначить отдельную парольную политику на доменную группу Domain Admins.
Запустите консоль **Active Directory Administrative Center (dsac.msc)**, переключитесь в древовидный вид и разверните контейнер System. Найдите контейнер **Password Settings Container**, щелкните по нему ПКМ и выберите **New -> Password Settings**.
{{ :work:active_directory:fine-grained-password-policy:adac-password-settings-container.jpg?nolink |}}
Укажите имя политики паролей (например, Password Policy for Domain Admins) и задайте настройки. Все поля стандартные: минимальная длина и сложность пароля, количество хранимых паролей в истории, частота смены пароля, параметры блокировки при неправильном введении пароля и т.д.
Каждый из параметров объекта PSO (класс ''msDS-PasswordSettings'' ) описывается отдельным атрибутом AD:
* msDS-LockoutDuration
* msDS-LockoutObservationWindow
* msDS-LockoutThreshold
* msDS-MaximumPasswordAge
* msDS-MinimumPasswordAge
* msDS-MinimumPasswordLength
* msDS-PasswordComplexityEnabled
* msDS-PasswordHistoryLength
* msDS-PasswordReversibleEncryptionEnabled
* msDS-PasswordSettingsPrecedence
Обратите внимание на атрибут **Precedence**. Данный атрибут определяет приоритет данной политики паролей. Если на пользователя AD действуют несколько политик PSO, то к нему будет применена политика с меньшим значением в поле Precedence.
**Примечание.**
* Если на пользователя действуют две PSO политики с одинаковыми значениями Precedence, будет применена политика с меньшим GUID;
* Если на пользователя назначены несколько политик, причем одна из них действует через группу безопасности AD, а вторая – напрямую на учетную запись, то будет применена политика, назначенная на учетку.
Затем в секции **Direct Applies To** добавьте группы или пользователей, на которых должна действовать политика (в этом примере Domain Admins). Сохраните политику.
Рекомендуется применять политику PSO к группам, а не отдельным пользователям. Создайте отдельную группу безопасности и добавляйте в нее учетные записи пользователей. Это упростит управление.
{{ :work:active_directory:fine-grained-password-policy:password-policy-settings.jpg?nolink |}}
С этого момента данная парольная политика будет применяться на всех членов группы Domain Admins.
Запустите консоль **Active Directory Users and Computers** (с установленной опцией Advanced Features) и откройте свойства любого пользователя из группы **Domain Admins**. Перейдите на вкладку редактора атрибутов (**Attribute Editor**) и в поле **Filter** выберите опцию **Constructed.**
Найдите атрибут пользователя **msDS-ResultantPSO**. В этом атрибуте указывается действующая на пользователя парольная политика FGPP ( ''CN=Password Policy for Domain Admins,CN=Password Settings Container,CN=System,DC=winitpro,DC=ru'' ).
{{ :work:active_directory:fine-grained-password-policy:msds-resultantpso.jpg?nolink |}}
Также действующую политику PSO для пользователя можно получить с помощью **dsget**:
dsget user "CN=Dmitriy,OU=Admins,DC=winitpro,DC=ru" –effectivepso
{{ :work:active_directory:fine-grained-password-policy:dsget-user_effectivepso.jpg?nolink |}}
===== Настройка политики паролей PSO с помощью PowerShell =====
Вы можете управлять политиками паролей PSO с помощью PowerShell (на компьютере должен быть установлен модуль RSAT-AD-PowerShell).
Для создания новой политики используется командлет **New-ADFineGrainedPasswordPolicy**:
New-ADFineGrainedPasswordPolicy -Name "Admin PSO Policy" -Precedence 10 -ComplexityEnabled $true -Description “Domain password policy for admins”-DisplayName “Admin PSO Policy” -LockoutDuration “0.10:00:00” -LockoutObservationWindow “0.00:20:00” -LockoutThreshold 5 -MaxPasswordAge “12.00:00:00” -MinPasswordAge “1.00:00:00” -MinPasswordLength 10 -PasswordHistoryCount 4 -ReversibleEncryptionEnabled $false
Теперь можно назначить политику на группу пользователей:
Add-ADFineGrainedPasswordPolicySubject "Admin PSO Policy" -Subjects "Domain Admins"
{{ :work:active_directory:fine-grained-password-policy:add-adfinegrainedpasswordpolicysubject.jpg?nolink |}}
Чтобы изменить настройки политики PSO:
Set-ADFineGrainedPasswordPolicy "Admin PSO Policy" -PasswordHistoryCount:"30"
Вывести все политики FGPP в домене:
Get-ADFineGrainedPasswordPolicy -Filter *
{{ :work:active_directory:fine-grained-password-policy:get-adfinegrainedpasswordpolicy-vyvesti-politiki-paroley-v-domene.jpg?nolink |}}
Для получения результирующей парольной политики, которая применяется к конкретному пользователю используется команды. Имя политики PSO, которая действует на пользователя указано в поле Name.
Get-ADUserResultantPasswordPolicy -Identity username
{{ :work:active_directory:fine-grained-password-policy:get-aduserresultantpasswordpolicy-resultiruyushaya-politika-paroley-kotoraya-primenyaetsya-k-polzovately.jpg?nolink |}}
Список политик PSO, назначенных на группу Active Directory, можно вывести с помощью командлета:
Get-ADGroup "Domain Admins" -properties * | Select-Object msDS-PSOApplied
Чтобы вывести настройки политики паролей по-умолчанию из Default Domain Policy, выполните команду:
Get-ADDefaultDomainPasswordPolicy
Несмотря на использование раздельных политик паролей, пользователи все еще могут установить такие слабые пароли, как ''P@ssw0rd'' .
Источник [[https://winitpro.ru/index.php/2017/01/18/nastrojka-politiki-parolej-fine-grained-password-policy-v-windows-2012-r2/]]