.png "Windows Server 2008")
Zasady haseł domenowych w systemie Windows .png "Udostępnij na: Facebook")
Autor: Derek Melber
Opublikowano: 20 grudnia 2007
Zawartość strony
.gif){kind=icon} |
Wstęp |
|
Ustawianie Zasad kont |
|
Czego nie można zrobić za pomocą bieżących Zasad haseł |
|
Co dalej z hasłami |
|
Zasady kont w systemie Windows Server 2008 |
|
Wybieranie ustawień Zasad kont |
|
Powody do radości |
Wstęp
Administratorzy domen systemu Windows są aż nazbyt świadomi ograniczeń związanych z zasadami haseł dla kont użytkowników domen. Jednak wraz z ukazaniem się systemu Windows Server 2008 znikną niektóre z tych ograniczeń. Przyjrzyjmy się sposobowi, w jaki nowy system operacyjny radzi sobie z jednym problemem: niemożliwością wprowadzenia różnych zasad dotyczących haseł.
Obecnie, w przypadku domen uruchomionych w jakiejkolwiek wersji systemu Windows® (Windows NT®, Windows 2000 Active Directory® lub Windows Server® 2003 Active Directory), istnieje ograniczenie do jednej zasady dotyczącej haseł na jedną domenę. W rzeczywistości, za ograniczenia odpowiadają nie tylko zasady dotyczące haseł, ale także szerszy zakres ustawień wchodzących w skład Zasad konta. Rys. 1. przedstawia te zasady i ustawienia.
.png)
Rys. 1. Zasady dotyczące haseł, ale także szerszy zakres ustawień wchodzących w skład Zasad konta.
Te ustawienia zasad domyślnie mają zastosowanie dla wszystkich domen i kont użytkowników powiązanych z domeną. Jest tak ze względu na sposób, w jaki Zasady Grupy są dziedziczone w strukturze usługi katalogowej Active Directory. Aby lepiej poznać wpływ zasad na działanie domen i konta użytkowników, należy zorientować się, gdzie ustawiane są te zasady oraz jak dziedziczenie Zasad grupy wpływa na różne konta użytkowników. (Należy zauważyć, że ustawienia zasad protokołu Kerberos mają zastosowanie jedynie dla kont użytkowników domen, gdyż tylko one używają protokołu Kerberos do uwierzytelniania. Lokalne konta użytkowników do uwierzytelniania używają natomiast protokołów NTLMv2, NTLM lub LM.)
.gif){kind=icon}
Do początku strony
Ustawianie Zasad kont
W ramach usługi katalogowej Active Directory, Zasady grupy ustalają i kontrolują Zasady kont dla całej domeny. Dzieje się to podczas początkowej instalacji domeny usługi katalogowej Active Directory i jest osiągane dzięki domyślnemu obiektowi zasad grupy (obiekt GPO) połączonemu z węzłem domeny w usłudze katalogowej Active Directory. Ten obiekt GPO o nazwie Domyślne zasady domeny posiada domyślną konfigurację dla wszystkich trzech sekcji Zasad kont. Rys. 2. przedstawia kompletną listę początkowych ustawień dla elementów Zasad haseł w domenie Windows Server 2003.
.gif)
Rys. 2. Domyślne zasady haseł dla domeny systemu Windows Server.
Ustawienia w tym obiekcie GPO kontrolują Zasady kont dla wszystkich kont użytkowników domen, jak również dla każdego komputera w domenie. Ważne jest, aby pamiętać, że wszystkie komputery domeny (komputery stacjonarne i serwery) posiadają menedżera kont zabezpieczeń (Security Accounts Manager – SAM). Menedżer ten jest kontrolowany przez ustawienia w domyślnym obiekcie GPO. Oczywiście lokalne menedżery SAM zawierają także konta lokalnych użytkowników dla odpowiednich komputerów.
Ustawienia w domyślnych zasadach domeny mają wpływ na wszystkie komputery domeny za sprawą zwyczajnego dziedziczenia obiektu GPO w strukturze usługi katalogowej Active Directory. Ponieważ obiekt GPO jest połączony z węzłem domeny, ma on wpływ na wszystkie konta komputerów w domenie.
Do początku strony
Czego nie można zrobić za pomocą bieżących Zasad haseł
Z obecną wersją usługi katalogowej Active Directory (w systemie Windows Server 2003) wiąże się wiele błędnych przekonań na temat kontroli haseł, pomimo, prowadzonych przez wiele lat, rygorystycznych testów i braku dowodów, aby te przekonania były prawdziwe. Jasne jest, a przynajmniej powinno być, że te zasady nie będą działały w sposób inny, niż to zaprogramowano.
I tak, wielu administratorów sądzi, że możliwe jest posiadanie wielu Zasad haseł dla użytkowników w tej samej domenie. Są oni przekonani, że można utworzyć obiekt GPO i połączyć go z jednostką organizacyjną (OU). Chodzi o przeniesienie kont użytkowników do jednostki OU tak, aby obiekt GPO miał na nie wpływ. W ramach obiektu GPO, Zasady kont są modyfikowane tak, aby utworzyć bezpieczniejsze Zasady haseł, np. może dzięki ustawieniu maksymalnej długości hasła na 14 znaków.
Jednak z różnych przyczyn taka konfiguracja nie da pożądanego wyniku. Po pierwsze, ustawienia Zasad haseł działają na poziomie komputera, a nie konta użytkownika. Oznacza to po prostu, że nigdy nie będą miały one zastosowania dla kont użytkowników. Po drugie, ustawienia Zasad konta użytkownika domeny jest możliwe tylko w ramach obiektu GPO połączonego z domeną. Obiekty GPO połączone z jednostką OU, które zostały skonfigurowane do zmiany ustawień Zasad kont, zmodyfikują lokalne menedżery SAM komputerów znajdujących się w danej jednostce OU lub jej podjednostkach.
Kolejnym błędem jest przekonanie, że Zasady kont ustawione w domenie głównej (początkowej domenie lasu usługi katalogowej Active Directory) zostaną odziedziczone przez podrzędne domeny w lesie lub do nich przejdą. W rzeczywistości ustawienia nie działają w taki sposób. Obiekty GPO połączone z domeną oraz jednostki OU w ramach jednej domeny nie będą miały wpływu na obiekty w innej domenie – nawet, jeśli są one połączone z domeną główną. Jedynym sposobem, aby ustawienia GPO obejmowały obiekty w innych domenach jest połączenie obiektów GPO z lokalizacjami Active Directory.
Do początku strony
Co dalej z hasłami
Jak można było przed chwilą zauważyć, obecne wersje systemu Windows posługują się hasłami kont użytkowników w prosty i bezpośredni sposób. Obejmuje to pojedynczy zbiór reguł haseł dla wszystkich kont domeny, jak również zarządzanie Zasadami kont za pomocą obiektu GPO połączonego z węzłem domeny w usłudze Active Directory. Wszystko to przebiega zupełnie inaczej w systemie Windows Server 2008.
System Windows Server 2008 i związana z nim infrastruktura Active Directory przyjmuje inne podejście. Zamiast umieszczenia Zasad kont w obiekcie GPO, co pozwalało na ustawienie tylko jednej zasady dla wszystkich kont użytkowników domen, ustawienia te przeniesiono do głębszej części usługi katalogowej Active Directory. Ponadto Zasady kont nie działają już w oparciu o konta komputerów. Teraz można kontrolować ustawienia haseł pojedynczych użytkowników i ich grup. Jest to całkowita nowość dla administratorów systemu Windows, którzy od dawna mają do czynienia z Zasadami kont dla kont komputerów.
Do początku strony
Zasady kont w systemie Windows Server 2008
W systemie Windows Server 2008 Zasady kont nie są określane za pomocą domyślnych zasad domeny. Tak naprawdę, tworzenie Zasad kont dla kont użytkowników domeny nie odbywa się w ogóle za pomocą obiektów GPO. W systemie Windows Server 2008 następuje przekierowanie do bazy danych usługi Active Directory w celu wprowadzenia modyfikacji. Zastosowane zostanie narzędzie, takie jak ADSIEdit, w celu zmodyfikowania obiektu usługi Active Directory i jego powiązanych atrybutów.
Powodem tej zmiany jest fakt, że Zasady grupy nie przewidują istnienia różnych haseł w tej samej domenie. Funkcjonalność obsługi wielu haseł w domenie w systemie Windows Server 2008 jest zgrabna, ale nie tak prosta w działaniu, jak byśmy chcieli. Jednak z czasem dostęp do interfejsu konfigurującego ustawienia będzie łatwiejszy. Na razie jednak wprowadzenie zmian wymaga zabawy z bazą danych Active Directory.
Zastosowanie narzędzia ADSIEdit do zmodyfikowania ustawień zasad kont nie jest konieczne. Można użyć innego edytora LDAP mogącego wejść do bazy danych Active Directory, a nawet skryptu. Podczas wdrażania zasad haseł w systemie Windows Server 2008, należy przyjąć zupełnie inne podejście niż dotychczas. Nowe możliwości oznaczają, że należy rozważyć, którzy użytkownicy i które grupy otrzymają określone ustawienia haseł.
Konieczne jest wzięcie pod uwagę nie tylko długości hasła, ale także dodatkowych ograniczeń towarzyszących ustawieniom Zasad haseł, takich, jak minimalny i maksymalny czas obowiązywania hasła, historia itd. Ponadto należy ustalić sposób kontroli ustawień zasad blokady użytkownika oraz ustawień protokołu Kerberos. Dotychczasowe ustawienia Zasad konta mają swoje dokładne odpowiedniki w ustawieniach konfigurowanych w bazie danych Active Directory w Windows Server 2008. Należy jednak pamiętać, że zmieniły się ich nazwy, ponieważ są one teraz obiektami i atrybutami usługi Active Directory.
Aby wdrożyć nowe ustawienia haseł, należy utworzyć obiekt ustawień haseł (Password Settings Object – PSO) o nazwie msDS-PasswordSettings w kontenerze Ustawienia haseł o ścieżce LDAP „cn=Password Settings,cn=System,dc=domainname,dc=com”. Należy zauważyć, że w domenie, z którą pracujemy, musi być ustawiony poziom funkcjonalności Windows Server 2008. W tym nowym obiekcie należy wypełnić informacje dotyczące kilku atrybutów, jak pokazano na rys. 3.
.png)
Rys. 3. Informacje dotyczące kilku atrybutów.
Jak widać, wszystkie ustawienia Zasad grupy powiązane z ustawieniami Zasad kont zostały zduplikowane jako atrybuty. Należy zwrócić także uwagę na ustawienie pierwszeństwa; jest ono konieczne do wdrożenia kilku haseł w tej samej domenie, ponieważ w przeciwnym razie mogą wystąpić konflikty.
Do początku strony
Wybieranie ustawień Zasad kont
Dla każdego utworzonego obiektu należy wypełnić informacje na temat wszystkich atrybutów kształtujących Zasady kont dla każdego użytkownika. Pojawia się tu nowy atrybut – msDS-PSOAppliesTo, określający, który obiekt otrzyma dany zbiór ustawień zasad. Jest to atrybut kontrolny, umożliwiający przekazanie określonych ustawień określonym użytkownikom. Na liście tego atrybutu mogą znajdować się użytkownicy lub grupy, jednak jak w przypadku innych opcji, podczas określania listy kontroli dostępu, najlepiej jest zastosować grupy zamiast użytkowników. Grupy są bardziej stabilne, widoczniejsze i ogólnie łatwiejsze w obsłudze.
Do początku strony
Powody do radości
Od lat czekaliśmy na możliwość zastosowania różnych haseł w tej samej domenie usługi Active Directory i wreszcie się doczekaliśmy. Teraz nie będzie już konieczności, by każdy użytkownik w całej domenie miał taki sam poziom bezpieczeństwa haseł. Przykładowo, teraz możliwe będzie posiadanie zwyczajnych kont użytkowników z hasłem o długości 8 znaków oraz kont specjalistów IT (którzy mogą posiadać uprawnienia administratorów) z bardziej złożonym hasłem o długości 14 znaków.
Przyzwyczajenie się do wykorzystywania bazy danych usługi Active Directory do określania lub modyfikowania ustawień Zasad konta może zająć trochę czasu. Na szczęście, nowe ustawienia są analogiczne do dotychczasowych. Zalecane jest zaznajomienie się z nowymi ustawieniami przy pierwszym kontakcie z systemem Windows Server 2008, ponieważ będą to z pewnością pierwsze wprowadzone konfiguracje.
| Do początku strony |