18/06/2019

Active Directory Password Policy Object (PSOs)

PSO ayarlanması için powershell veya Active Directory Administrative Center.

Burada lütfen zamanların yazılışına ve yazım formatının farklılığına dikkat edin. Microsoft powershell i zor ve saçma yapan şey işte bu standartsızlık. Çoğu komutta böyle bir yazım tarzı yokken bunda var. Bu farkı bilmeyen biri uzun süre çırpınabilir.

PS C:\>Import-Module ActiveDirectory

PS C:\>New-ADFineGrainedPasswordPolicy Test -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"60.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"12" -PasswordHistoryCount:"30" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true

PS C:\>Add-ADFineGrainedPasswordPolicySubject test -Subjects Ankara

Burda -Subjects ile bir OU hedefleniyor ancak yazım hatası var sistem OU yu bu şekilde bulamıyor. Detayını bilemedim.

Tabii ki diğer yol administrative center yani GUI.

Server Manager –>Tools –> Active Directory Administrative Center

Gelen pencerede sol taraftan Domainimizi “C1.local” tıklıyoruz. Gelen listede aşağıda “System” ı çift tıklıyoruz. orta panelde liste gelecek orada “Password Settings Container”ı seçin.

Bu containera çift tıkladığımızda boş olarak gelir. Sağ taraftan “new” diyerek devam ediyoruz. Account lock-out policy ve Password Policy de olan pek çok ayar burada da var. Çoğu zaten adından anlaşılıyor.

Ancak Precedence bir den çok PSO bir gruba veya hesaba uygulandığında hangi sıra ile uygulanacağını belirliyor. Ne kadar düşükse o kadar etkilidir. örneğin 1 her zaman 2 den daha üstündür. Ancak eğer bir kullanıcı hesabına direk eklenmiş ise (applies directly to) bu durum OU ya yapılan uyguladan üstündür. Yani OUda başka ayar olsada burada yaptıklarımız o hesap için geçerli olacaktır.

Directly applies To : dan da hangi hesap ve/veya grubu etkilemesini istiyorsak ekliyoruz.

Yapılan ayarı kontrol etmek için yine “Active Directory Administrative Center”‘da domainde hesabı bulup üzerine sağ tıklıyoruz ve “View resultant password settings” i seçiyoruz.

Hangileri uygulanmış görüyoruz.

Active Directory administrative centerdan bu yaptıklarımız aynen “active directory users and computers” dan da yapılabilir.

Leave a Reply