===== Раздельные (гранулированные) политики паролей Fine-Grained Password Policy в Active Directory =====

Раздельные (гранулированные) политики паролей **Fine-Grained Password Policies (FGPP)** позволяют создать отдельные политики паролей для определенных пользователей или групп. Множественные политики паролей FGPP доступны, начиная с версии Active Directory в Windows Server 2008. В предыдущих версиях AD 2000 можно было создать только одну политику паролей в каждом домене (в рамках Default Domain Policy).

В этой статье мы покажем, как создать и настроить раздельные политики управления паролями (Password Setting Objects) в домене.

===== Множественные политики управления паролями — Fine-Grained Password Policies =====

Fine-Grained Password Policies позволяют администратору создать в одном домене несколько специальных политик управления паролями **(Password Settings Policy — PSO)**. В PSO объектах задаются требования к паролям (длина, сложность, история) и настройки блокировки учетных записей. Политики PSO можно назначать на конкретных пользователей или группы, но не на контейнеры (OU) Active Directory. Если к пользователю/группе привязана политика PSO, то настройки парольной политики из GPO Default Domain Policy к нему более не применяются.

С помощью политик FGPP можно задать более высокие требования на длину и сложность пароля для учетных записей администраторов, сервисных учетных записей или пользователей, имеющих внешний доступ в домена (через VPN или DirectAccess).

Основные требования для использования множественных политик паролей FGPP в домене:

  * Функциональный уровень домена Windows Server 2008 или выше;
  * Парольные политики можно назначить на пользователей или глобальные (!) группы безопасности (global security);
  * FGPP политика применяется целиком (нельзя часть настроек описать в GPO, а часть в FGPP).

===== Настройка Password Settings Policy в Active Directory =====

Вы можете создавать и редактировать парольные политики Fine-Grained Password Policies из графического интерфейса консоли **Active Directory Administration Center (ADAC)**.

<note>В этой версии AD также доступны корзина Active Directory, позволяющая восстановить удалённые объекты, и управляемые служебные учетные записи (gMSA).
В данном примере мы покажем, как создать и назначить отдельную парольную политику на доменную группу Domain Admins.</note>

Запустите консоль **Active Directory Administrative Center (dsac.msc)**, переключитесь в древовидный вид и разверните контейнер System. Найдите контейнер **Password Settings Container**, щелкните по нему ПКМ и выберите **New -> Password Settings**.
{{ :work:active_directory:fine-grained-password-policy:adac-password-settings-container.jpg?nolink |}}

Укажите имя политики паролей (например, Password Policy for Domain Admins) и задайте настройки. Все поля стандартные: минимальная длина и сложность пароля, количество хранимых паролей в истории, частота смены пароля, параметры блокировки при неправильном введении пароля и т.д.
<note>Каждый из параметров объекта PSO (класс ''msDS-PasswordSettings'' ) описывается отдельным атрибутом AD:
  * msDS-LockoutDuration
  * msDS-LockoutObservationWindow
  * msDS-LockoutThreshold
  * msDS-MaximumPasswordAge
  * msDS-MinimumPasswordAge
  * msDS-MinimumPasswordLength
  * msDS-PasswordComplexityEnabled
  * msDS-PasswordHistoryLength
  * msDS-PasswordReversibleEncryptionEnabled
  * msDS-PasswordSettingsPrecedence
</note>
Обратите внимание на атрибут **Precedence**. Данный атрибут определяет приоритет данной политики паролей. Если на пользователя AD действуют несколько политик PSO, то к нему будет применена политика с меньшим значением в поле Precedence.
<note tip>
**Примечание.**
  * Если на пользователя действуют две PSO политики с одинаковыми значениями Precedence, будет применена политика с меньшим GUID;
  * Если на пользователя назначены несколько политик, причем одна из них действует через группу безопасности AD, а вторая – напрямую на учетную запись, то будет применена политика, назначенная на учетку.
</note>
Затем в секции **Direct Applies To** добавьте группы или пользователей, на которых должна действовать политика (в этом примере Domain Admins). Сохраните политику.
<note>
Рекомендуется применять политику PSO к группам, а не отдельным пользователям. Создайте отдельную группу безопасности и добавляйте в нее учетные записи пользователей. Это упростит управление.
</note>
{{ :work:active_directory:fine-grained-password-policy:password-policy-settings.jpg?nolink |}}
С этого момента данная парольная политика будет применяться на всех членов группы Domain Admins.

Запустите консоль **Active Directory Users and Computers** (с установленной опцией Advanced Features) и откройте свойства любого пользователя из группы **Domain Admins**. Перейдите на вкладку редактора атрибутов (**Attribute Editor**) и в поле **Filter** выберите опцию **Constructed.**

Найдите атрибут пользователя **msDS-ResultantPSO**. В этом атрибуте указывается действующая на пользователя парольная политика FGPP ( ''CN=Password Policy for Domain Admins,CN=Password Settings Container,CN=System,DC=winitpro,DC=ru'' ).
{{ :work:active_directory:fine-grained-password-policy:msds-resultantpso.jpg?nolink |}}

Также действующую политику PSO для пользователя можно получить с помощью **dsget**:

<code>dsget user "CN=Dmitriy,OU=Admins,DC=winitpro,DC=ru" –effectivepso</code>
{{ :work:active_directory:fine-grained-password-policy:dsget-user_effectivepso.jpg?nolink |}}

===== Настройка политики паролей PSO с помощью PowerShell =====
Вы можете управлять политиками паролей PSO с помощью PowerShell (на компьютере должен быть установлен модуль RSAT-AD-PowerShell).

Для создания новой политики используется командлет **New-ADFineGrainedPasswordPolicy**:

<code>New-ADFineGrainedPasswordPolicy -Name "Admin PSO Policy" -Precedence 10 -ComplexityEnabled $true -Description “Domain password policy for admins”-DisplayName “Admin PSO Policy” -LockoutDuration “0.10:00:00” -LockoutObservationWindow “0.00:20:00” -LockoutThreshold 5 -MaxPasswordAge “12.00:00:00” -MinPasswordAge “1.00:00:00” -MinPasswordLength 10 -PasswordHistoryCount 4 -ReversibleEncryptionEnabled $false</code>

Теперь можно назначить политику на группу пользователей:

<code>Add-ADFineGrainedPasswordPolicySubject "Admin PSO Policy" -Subjects "Domain Admins"</code>
{{ :work:active_directory:fine-grained-password-policy:add-adfinegrainedpasswordpolicysubject.jpg?nolink |}}
Чтобы изменить настройки политики PSO:

<code>Set-ADFineGrainedPasswordPolicy "Admin PSO Policy" -PasswordHistoryCount:"30"</code>

Вывести все политики FGPP в домене:

<code>Get-ADFineGrainedPasswordPolicy -Filter *</code>
{{ :work:active_directory:fine-grained-password-policy:get-adfinegrainedpasswordpolicy-vyvesti-politiki-paroley-v-domene.jpg?nolink |}}

Для получения результирующей парольной политики, которая применяется к конкретному пользователю используется команды. Имя политики PSO, которая действует на пользователя указано в поле Name.

<code>Get-ADUserResultantPasswordPolicy -Identity username</code>
{{ :work:active_directory:fine-grained-password-policy:get-aduserresultantpasswordpolicy-resultiruyushaya-politika-paroley-kotoraya-primenyaetsya-k-polzovately.jpg?nolink |}}

Список политик PSO, назначенных на группу Active Directory, можно вывести с помощью командлета:

<code>Get-ADGroup "Domain Admins" -properties * | Select-Object msDS-PSOApplied</code>

Чтобы вывести настройки политики паролей по-умолчанию из Default Domain Policy, выполните команду:

<code>Get-ADDefaultDomainPasswordPolicy</code>
<note>Несмотря на использование раздельных политик паролей, пользователи все еще могут установить такие слабые пароли, как ''P@ssw0rd'' .</note>

Источник [[https://winitpro.ru/index.php/2017/01/18/nastrojka-politiki-parolej-fine-grained-password-policy-v-windows-2012-r2/]]