ИТ-архитектура от А до Я: Комплексное решение. Первое издание. Вадим Алджанов
Чтение книги онлайн.

Читать онлайн книгу ИТ-архитектура от А до Я: Комплексное решение. Первое издание - Вадим Алджанов страница 35

СКАЧАТЬ local admin password management: Enabled

      Password Settings: Enabled – в политике задается сложности пароля, его длину и частота изменения.

      Complexity: Large letters, small letters, numbers, specials

      Length: 12 characters

      Age: 30 days

      Name of administrator account to manage: Not Configured (по умолчанию меняется пароль с SID -500)

      Do not allow password expiration time longer than required by policy: Enabled

      •Деактивируем User Configuration секцию данной групповой политики.

      •Применяем политику на соответствующую организационную единицу (MyCompany-Workstations).

      •Политика применяется на все компьютеры в соответствующей Организационной Единице (OU).

      Просмотр пароля и установить дату истечения пароля возможно через утилиту (AdmPwd UI) или через команду:

      Get-AdmPwdPassword -ComputerName <computername>

      Установка Fine-Grained Password Policy

      Для повышения безопасности ИТ инфраструктуры можно установить различные требования парольной политики для различных групп сотрудников (пользователи и администраторы). Настройку можно произвести через оснастку Активного Каталога или консоль PowerShell. Требования: функциональный уровень домена Windows 2008 и выше, права Enterprise Admins. Настройка производится контролере домена.

      Вариант 1:

      Настройка через оболочку Active Directory Administrative Center. Открываем оснастку Active Directory Administrative Center и переходим на ветвь: System -> Password Settings Container

      Правая кнопка: New -> Password Settings

      Вариант 2:

      Настройка чрез консоль PowerShell:

      New-ADFineGrainedPasswordPolicy -Name «Tech Admin Password Policy» -Precedence 1 `

      – MinPasswordLength 12 -MaxPasswordAge «30» -MinPasswordAge «7» `

      – PasswordHistoryCount 50 -ComplexityEnabled:$true `

      – LockoutDuration «8:00» `

      – LockoutObservationWindow «8:00» -LockoutThreshold 5 `

      – ReversibleEncryptionEnabled:$false

      •Добавление группу:

      Add-ADFineGrainedPasswordPolicySubject -Identity «Tech Admin Password Policy» -Subjects «IT Admins»

      •Добавление администратора (ADMIN1) к политике (как пример на пользователя):

      Add-ADFineGrainedPasswordPolicySubject -Identity «Tech Admin Password Policy» -Subjects «ADMIN1»

      Restricted Groups добавление в группу локальных администраторов через GPO

      Можно использовать данный механизм для добавления доменной группы в группу локальных администраторов, а также контролировать членство в данной группе.

      •Открываем оснастку Group Policy Management на контроллере домена.

      •Создаем новую групповую политику: RESTRICTED-ADM-LOCAL

      •Через Group Policy Management Editor (GPME) открываем ветку:

      Computer Configuration> Policies> Windows Settings> Windows Security> Restricted Groups

      •Добавляем группу: [ADD GROUP] и выбираем Administrators

      •Входим в группу и добавляем членов группы [ADD MEMBERS of this GROUP]

      •Добавляем нашу доменную группу (ADDS-ADM-LOCAL)

      •Деактивируем User Configuration секцию данной групповой политики

      •Применяем политику на соответствующую организационную единицу.

      Отключение автозапуска Service Manager через GPO

      Добавление данной записи через групповую политику позволит снизить нагрузку на сервера т.к. данная оболочка потребляет определённое количество ресурсов. Желательно включить для всех серверов организации. Настраивается через: Computer/Policies/Administrative Templates/System/Service Manager, enable отключение опции СКАЧАТЬ