Trong quá trình cài đặt Windows Active Directory cho một Domain Controller, hai Group Policy Object (GPO), tức đối tượng chính sách nhóm được tạo. Các GPO này được đặt tên là Default Domain Controllers Policy và Default Domain Policy. Đầu tiên, tất nhiên chúng ta sẽ hướng đến các máy kiểm soát miền, liên kết với đơn vị tổ chức Domain Controller (OU) nhưng chỉ với OU trong quá trình cài đặt mới Active Directory. Trách nhiệm chính của GPO này là thiết lập đặc quyền người dùng cho Domain Controller, cũng như một số thiết lập bảo mật...
Longhorn sẵn sàng cung cấp mật đa miền Trong trình cài đặt Windows Active Directory cho Domain Controller, hai Group Policy Object (GPO), tức đối tượng sách nhóm tạo Các GPO đặt tên Default Domain Controllers Policy Default Domain Policy Đầu tiên, tất nhiên hướng đến máy kiểm soát miền, liên kết với đơn vị tổ chức Domain Controller (OU) với OU trình cài đặt Active Directory Trách nhiệm GPO thiết lập đặc quyền người dùng cho Domain Controller, số thiết lập bảo mật hỗn hợp khác Default Domain Policy liên kết tới nút miền tồn q trình cài đặt, với trách nhiệm mặc định Đó thiết lập Password Policy cho tất tài khoản người dùng miền Password Policies ba phần khác khu vực Account Policies Bên cạnh cịn có Account Lockout Policies Kerberos Policies Bên Default Domain Policy, thiết lập kiểm soát mật tài khoản người dùng miền giới hạn khoá tạo, Hình 1, Hình bên Nếu giá trị mặc định khơng hoan nghênh, bạn chỉnh sửa chúng Có hai hướng thực update Default Domain Policy để đạt thiết lập Password Policy mong đợi Hoặc không thay đổi GPO mặc định mà tạo GPO khác Sau liên kết với miền, cấu hình với thiết lập Password Policy mong đợi thiết lập khác chuyển lên mức ưu tiên cao Default Domain Policy, Hình Thiết lập sách mật quản lý tài khoản bảo mật cục (SAM) Nếu bạn nghĩ Password Policy thiết lập GPO liên kết tới OU bạn tạo bạn Nhưng bạn nghĩ thiết lập Password Policy GPO tác động tới tài khoản người dùng nằm OU bạn sai Đây khái niệm sai lầm phổ biến cách thức hoạt động Password Policy miền Active Directory Windows 2000/2003 Các thiết lập tạo GPO không ảnh hưởng tới tài khoản người dùng, ảnh hưởng tới tài khoản máy tính Điều thể hình minh hoạ Bạn thấy phần Account Policies rõ ràng nằm nút Computer Configuration GPO Sự nhầm lẫn ngày tăng thật tài khoản máy tính khơng có mật khẩu, cịn tài khoản người dùng có Để khắc phục, GPO thực cấu hình SAM (trình quản lý tài khoản bảo mật) máy tính, đưa kiểm soát giới hạn mật cho tài khoản người dùng cục lưu trữ Cũng cần ý thiết lập Password Policies GPO liên kết tới OU mặc định có quyền ưu tiên cao Default Domain Policy Do đó, thiết lập thực GPO liên kết tới OU có tác động mức miền Điều thay đổi qua tuỳ chọn Enfored GPO liên kết tới miền có thiết lập Password Policy mong đợi, minh hoạ Hình Chính sách mật miền Longhorn Trong Longhorn, khái niệm hoạt động thiết lập sách mật cho tài khoản người dùng miền thường có kết đảo ngược Các sách mật đa miền áp dụng cho miền Tất nhiên, thành phần mong đợi từ lâu, lâu rồi, từ thời Windows NT 4.0 Câu trở nên quen thuộc: “Tôi muốn có mật tổng hợp cho quản trị viên so với người dùng tiêu chuẩn miền” Bây giờ, bạn tạo sách mật tuỳ chọn cho kiểu người dùng môi trường Đó người lĩnh vực HR, tài chính, nhân viên, quản trị IT, nhân viên hỗ trợ… Các thiết lập bạn có thời kỳ chuyển nhượng giống bên Group Policy Object Chỉ có điều bạn khơng cần dùng Group Policy để cấu hình chúng Với Longhorn, có đơi tượng tỏng Active Directory cho bạn cấu hình Đó Password Settings Object, bao gồm tồn thuộc tính thời có Password Policies Account Lockout Policies Để triển khai, bạn cần tạo đối tượng LDAP có tên msDSPasswordSettings bên nơi lưu trữ Password Settings Đường dẫn LDAP có dạng: “cn=Password Settings,cn=System,dc=domainname,dc=com” Bên đối tượng này, bạn cần điền thơng tin cho thuộc tính sau: msDS-PasswordSettingsPrecedence: Đây thuộc tính quan trọng, điều khiển trường hợp người dùng có tư cách thành viên đa nhóm với sách mật khác thiết lập msDS-PasswordReversibleEncryptionEnabled: Bật/tắt chức để biết liệu chế mã đảo hoá ngược có hỗ trợ hay khơng msDS-PasswordHistoryLength: Xác định có mật phải trước dùng lại msDS-PasswordComplexityEnabled: Thiết lập chế mật yêu cầu ký tự, hay kiểu ký tự từ chối mật dùng làm tên đăng nhập msDS-MinimumPasswordLength: Thiết lập độ dài nhỏ cho mật msDS-MinimumPasswordAge: Xác định người dùng phải dùng mật trước thay đổi msDS-MaximumPasswordAge: Xác định người dùng dùng mật trước chúng yêu cầu thay đổi msDS-LockoutObservationWindow: Xác định khoảng thời gian đếm mật sai thiết lập lại msDS-LockoutDuration: Xác định thời gian tài khoản bị khoá sau lần nhiều nhập mật sai Sau thuộc tính cấu hình, đối tượng liên kết với nhóm mở rộng Active Directory Chương trình liên kết hồn chỉnh bước thêm tên LDAP Tóm nhóm vào thuộc tính msDS-PSOAppliesTo tắt Longhorn trình diện với số thành phần mới, công nghệ phương thức cho hoạt động điều khiển quản lý đối tượng doanh nghiệp bạn Cho đến bây giờ, thành phàn ấn tượng nhanh chóng trở nên phổ biến khả thiết lập sách đa mật miền đơn Có thể đầu bạn bắt đầu hình suy nghĩ tác động chức lên môi trường hệ bắt đầu vạch kế hoạch bạn muốn thực thời gian dài ... tới OU có tác động mức miền Điều thay đổi qua tuỳ chọn Enfored GPO liên kết tới miền có thiết lập Password Policy mong đợi, minh hoạ Hình Chính sách mật miền Longhorn Trong Longhorn, khái niệm... Trong Longhorn, khái niệm hoạt động thiết lập sách mật cho tài khoản người dùng miền thường có kết đảo ngược Các sách mật đa miền áp dụng cho miền Tất nhiên, thành phần mong đợi từ lâu, lâu rồi,... tài khoản máy tính khơng có mật khẩu, cịn tài khoản người dùng có Để khắc phục, GPO thực cấu hình SAM (trình quản lý tài khoản bảo mật) máy tính, đưa kiểm soát giới hạn mật cho tài khoản người dùng