Cấu hình thiết lập mật Windows Server 2008 - Phần Nguồn : quantrimang.com  Jakob H Heidelberg Trong phiên Active Directory trước có mật tài khoản để khóa sách cho tồn miền Tuy nhiên số cơng ty phải sử dụng nhiều miền để có nhiều sách mật khác người dùng khác nhau; số cơng ty khác phát triển lọc mật họ mua từ nhóm phát triển phần mềm thứ ba Với Windows Server 2008, tùy chọn để định nhiều sách mật khác cho người dùng nhóm khác Trong phần gồm hai phần tìm hiểu cách tạo sách mật bổ sung vào sách có “Default Domain Policy” Điểm Trong tính mới, tập trung vào “Granular Password Settings” “Fine-Grained Password Policy“,dựa hai lớp đối tượng lược đồ AD: đối tượng “Password Settings Container” “Password Setting” Các đối tượng có cung cấp cho tùy chọn để giới thiệu nhiều sách mật miền Active Directory đơn Tuy nhiên xem xem phải cần gì… Các cơng cụ điều kiện định Đây xem xét sơ qua công cụ điều kiện định cần thiết cho việc tạo sách mật bổ sung ADUC Trước hết, mức chức miền Active Directory phải “Windows Server 2008” Điều kiểm tra cách sử dụng Active Directory Users and Computers (ADUC) – cách kích chuột phải vào miền > chọn “Raise domain functional level” – mức chức miền hành đọc “Windows Server 2008” (dưới hình phiên beta Windows Server 2008): Hình GPMC Chúng ta phải sử dụng Group Policy Management Console (GPMC) để thiết lập sách mật mặc định cho toàn miền Nếu quên cách thiết lập mật miền mặc định khóa thiết lập bạn tìm thấy chúng GPMC mức miền “Default Domain Policy” > Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy/Account Lockout Policy Bằng cách này, GPMC có Windows Server 2008 (giống Windows Vista), phải bổ sung tính – chọn “Add Feature” Server Manager, chọn ‘Group Policy Management’, sau bạn vào ‘Group Policy Ready’ ADSI Edit Công cụ quan trọng cho “bài tập” công cụ mà hầu hết quản trị viên lo ngại nhiều năm – bạn sử dụng gần có vấn đề lại xuất -, chúng tơi chuyển sang tiện ích ADSI Edit (adsiedit.msc) Hầu hết thiết lập sách mật cốt lõi tạo cấu hình từ bên cơng cụ ADSI Edit phần cài đặt Windows Server 2008 chuẩn bạn khơng cần phải bổ sung sau Các bước Các bước cần thiết để cấu hình thiết lập sách mật Windows Server 2008: Tạo đối tượng thiết lập mật (Password Settings Object - PSO) thư mục thiết lập mật (Password Settings Container - PSC) ADSI Edit Cấu hình tùy chọn PSO cách hoàn thành wizard gốc bên ADSI Edit Gán PSO cho tài khoản người dùng nhóm bảo mật tồn cục Xác nhận thiết lập áp dụng Bắt đầu Đầu tiên, mở ADSI Edit cách kích Start > Run… > “adsiedit.msc” kích OK (hoặc nhấn Enter) Kích chuột phải vào “ADSI Edit” chọn “Connect to…” Hình Kích OK để đồng ý với tùy chọn mặc định hộp thoại “Connection Settings” Hình Trong ADSI Edit bạn mở rộng miền, mở rộng thư mục ‘System’ cuối kích chuột phải vào ‘Password Settings Container’ (PSC) chọn New > “Object ” Hình Bây phải chọn lớp cho đối tượng mới, bạn nhận lựa chọn Chọn msDS-PasswordSettings kích Next: Hình Lúc này, wizard bắt đầu, hướng dẫn qua tồn q trình tạo đối tượng thiết lập mật (PSO) Chúng ta phải định giá trị cho 11 thuộc tính Nhập vào giá trị thể Thuộc tính Cn msDS-PasswordSettingsPrecedence Giá trị Giải thích nhanh PassPolAdmins Đây tên sách Bạn nên đặt tên thường lệ cho sách 10 Số sử dụng “chi phí” cho ưu tiên sách khác trường hợp người dùng sử dụng nhiều PSO Bạn phải để lại khoảng trắng bên cho sử dụng tương lai Các thiết lập mật PSO mạnh “chi phí” thấp msDSFalse PasswordReversibleEncryptionEnabled Giá trị nhị phân để chọn mật lưu với mã hóa đảo ngược (thường khơng phải ý tưởng tốt) msDS-PasswordHistoryLength msDS-PasswordComplexityEnabled msDS-MinimumPasswordLength msDS-MinimumPasswordAge 32 Bao nhiêu mật trước hệ thống lưu lại True Người dùng phải sử dụng mật phức tạp? (giá trị nhị phân) 16 Số lượng tối thiểu kí tự mật tài khoản người dùng? -864000000000 (9 zeros) Thời hạn tối thiểu mật (trong trường hợp ngày) msDS-MaximumPasswordAge Thời hạn tối đa mật bao 36288000000000 nhiêu? (9 zeros) (trong trường hợp 42 ngày) 30 Bao nhiêu lần thử thất bại trước tài khoản người dùng bị khóa? msDS-LockoutObservationWindow -18000000000 (9zeros) Sau lâu đếm lần thử thất bại thiết lập lại? (trong trường hợp phút) msDS-LockoutDuration -18000000000 (9zeros) Bao lâu đối tượng tài msDS-LockoutTreshold khoản người dùng bị khóa trường hợp có nhiều mật sai nhập vào? (trong trường hợp phút) Bảng Khi tất dược đưa vào bạn thấy cửa sổ – kích Finish Hình Thực Bây PSO tạo bạn thấy PSC ADSI Edit ADUC/Server Manager (hãy nhớ kích hoạt “Advanced Features” menu View), trơng giống hình Hình Từ phải thực gán sách cho người dùng, nhiều người dùng, nhóm bảo mật tồn cục, nhiều nhóm bảo mật tồn cục kết hợp người dùng nhóm bảo mật tồn cục Để thực điều này, bạn kích chuột phải PSO ADUC (hoặc ADSI Edit), chọn Properties – kích Filter bảo đảm bạn chọn tùy chọn đây: Hình Hình bao gồm tùy chọn chọn: “Mandatory”, “Optional”, “Constructed”, “Backlinks” “System-only” Tùy chọn “Show only attributes that have values” không chọn Bây vào msDS-PSOAppliesTo, chọn kích Edit Hình Trong “Multi-valued String Editor” bạn chèn tên phân biệt người dùng nhóm bảo mật tồn cục trường “Value to add” kích Add Bạn thêm nhiều tên phân biệt hộp thoại – xong kích OK Hình 10 Trong ví dụ trên, chúng tơi bổ sung nhóm bảo mật tồn cục có tên “Admins” (với tên phân biệt “CN=Admins,CN=Users,DC=Contoso,DC=Local”) Mỗi tài khoản người dùng thành viên nhóm sử dụng sách mật “PassPolAdmins” thay cho sách định nghĩa Default Domain Policy Tới đây, bạn phân vân điều xảy người dùng bị ảnh hưởng nhiều sách mật xung đột Chúng quay trở lại vấn đề cách chi tiết phần Chú ý đến thay đổi Khi duyệt ADUC, bạn có ý đến tab “Attribute Editor” mà có hầu hết đối tượng (xem tính nâng cao “Advanced Features” phải kích hoạt) hay khơng? Hình 11 Điều thực hữu dụng cho phép quản trị viên xem soạn thảo nhiều thứ bình thường làm cơng cụ soạn thảo ADSI Edit Với tab này, lấy thuộc tính PSO miền thay đổi thuộc tính msDS-PSOAppliesTo để thiết lập dễ dàng sách mật người dùng đối tượng nhóm Chính sách áp dụng đây? Bạn khó nhận sách áp dụng cho đối tượng người dùng cụ thể (có thể với giá trị ưu tiên AKA thấp nhất) - Resultant Set of Policy (RSoP) cho bạn thực điều cách dễ dàng Tuy nhiên Microsoft đề cập đến vấn đề cách giới thiệu thuộc tính msDSResultantPSO lại cho đối tượng người dùng Hình 12 Giá trị xác định sách áp dụng cho người dùng (trong ví dụ chúng tơi, người dùng có tên “Windows Admin”) Cả đối tượng nhóm người dùng có thuộc tính mới, msDS-PSOApplied, thuộc tính nắm giữ tất sách mà nhóm người dùng sử dụng trực tiếp thơng qua thành viên nhóm Trong ví dụ đây, nhóm có tên gọi “Admins” sử dụng hai sách mật khác Hình 13 Nếu bạn không thấy giá trị đề cập đây, bảo đảm thiết lập tab “Attribute Editor” phép lọc tùy chọn phần Make it happen   ... cần thiết để cấu hình thiết lập sách mật Windows Server 2008: Tạo đối tượng thiết lập mật (Password Settings Object - PSO) thư mục thiết lập mật (Password Settings Container - PSC) ADSI Edit Cấu. .. vấn đề lại xuất -, chúng tơi chuyển sang tiện ích ADSI Edit (adsiedit.msc) Hầu hết thiết lập sách mật cốt lõi tạo cấu hình từ bên cơng cụ ADSI Edit phần cài đặt Windows Server 2008 chuẩn bạn khơng... msDS-LockoutObservationWindow -1 8000000000 (9zeros) Sau lâu đếm lần thử thất bại thiết lập lại? (trong trường hợp phút) msDS-LockoutDuration -1 8000000000 (9zeros) Bao lâu đối tượng tài msDS-LockoutTreshold