Windows Server - Fine-Grained Password Policy
Temmuz 31, 2020
Selamlar,
Bu konuda farklı kullanıcılara farklı parola poliçelerinin nasıl uygulanabileceğini anlatacağım. Daha önceden kompleks parola gereksinimine ilişkin anlatım yapmıştım. Yalnız buradaki konu Group Policy üzerinden yapılmakta olup tüm domaini, dolayısıyla tüm kullanıcıları kapsamaktadır.
Peki farklı kullanıcılara farklı poliçeler uygulamak istiyorsak, mesela IT ekibindeki user'lar için kompleks parola zorunlu olsun ama pazarlama birimi çalışanlarında böyle bir zorunluluk bulunmasına gerek yok deniliyorsa Fine-Grained Password Policy'den yararlanabilirsiniz.
Fine-Grained Password Policy'i GPO'larla OU'lar üzerine basamazsınız. Fine-Grained Password Policy'i sadece kullanıcılara ya da kullanıcı gruplarına uygulayabilirsiniz. Bu nedenle test işlemleri için Bilisim Ekibi isimli bir Group oluşturup test işlemlerini bu gruptaki kullanıcılarla gerçekleştirdim.
Fine-Grained Password Policy objelerini oluşturmak ve yönetmek için Administrative Center'ı kullanmanız gerekmektedir.
ADAC konsolunu açıp sol taraftan poliçenin uygulanacağı domaine tıklayıp sırasıyla System > Password Settings Container'ı seçin.
Daha sonra sağ taraftan New > Password Settings'e tıklayın.
Karşınıza gelen poliçe özellikleri ekranından gereksinimleri belirleyebilirsiniz.
Directly Applies To kısmından Add butonuna tıklayarak poliçeden etkilenmesini istediğiniz kullanıcı ve kullanıcı gruplarını ekleyebilirsiniz.
Precedence değeri poliçenin önceliğini belirlemek için kullanılmaktadır. Örneğin aynı kullanıcı ya da kullanıcı grubuna etki eden birden fazla poliçe varsa, precedence değeri en düşük olan poliçenin ayarları o kullanıcılara etki edecektir. Anlaşılabilir olması açısından aşağıdaki ekran görüntüsünü inceleyecek olursak;
Aynı kullanıcı gruplarına etki eden bu iki kuraldan sağ taraftaki precedence değeri 5 olan poliçe Bilisim Ekibi isimli kullanıcı grubunu etkileyecektir.
Not: Bu işlem Windows Server 2012 ve sonrası sunucularda ADAC üzerinden uygulanmaktadır. 2008 R2 için ilgili işlem ADSI Edit üzerinden uygulanmaktadır.
Bu konuda farklı kullanıcılara farklı parola poliçelerinin nasıl uygulanabileceğini anlatacağım. Daha önceden kompleks parola gereksinimine ilişkin anlatım yapmıştım. Yalnız buradaki konu Group Policy üzerinden yapılmakta olup tüm domaini, dolayısıyla tüm kullanıcıları kapsamaktadır.
Peki farklı kullanıcılara farklı poliçeler uygulamak istiyorsak, mesela IT ekibindeki user'lar için kompleks parola zorunlu olsun ama pazarlama birimi çalışanlarında böyle bir zorunluluk bulunmasına gerek yok deniliyorsa Fine-Grained Password Policy'den yararlanabilirsiniz.
Fine-Grained Password Policy'i GPO'larla OU'lar üzerine basamazsınız. Fine-Grained Password Policy'i sadece kullanıcılara ya da kullanıcı gruplarına uygulayabilirsiniz. Bu nedenle test işlemleri için Bilisim Ekibi isimli bir Group oluşturup test işlemlerini bu gruptaki kullanıcılarla gerçekleştirdim.
Fine-Grained Password Policy objelerini oluşturmak ve yönetmek için Administrative Center'ı kullanmanız gerekmektedir.
ADAC konsolunu açıp sol taraftan poliçenin uygulanacağı domaine tıklayıp sırasıyla System > Password Settings Container'ı seçin.
Daha sonra sağ taraftan New > Password Settings'e tıklayın.
Karşınıza gelen poliçe özellikleri ekranından gereksinimleri belirleyebilirsiniz.
Directly Applies To kısmından Add butonuna tıklayarak poliçeden etkilenmesini istediğiniz kullanıcı ve kullanıcı gruplarını ekleyebilirsiniz.
Precedence değeri poliçenin önceliğini belirlemek için kullanılmaktadır. Örneğin aynı kullanıcı ya da kullanıcı grubuna etki eden birden fazla poliçe varsa, precedence değeri en düşük olan poliçenin ayarları o kullanıcılara etki edecektir. Anlaşılabilir olması açısından aşağıdaki ekran görüntüsünü inceleyecek olursak;
Aynı kullanıcı gruplarına etki eden bu iki kuraldan sağ taraftaki precedence değeri 5 olan poliçe Bilisim Ekibi isimli kullanıcı grubunu etkileyecektir.
Not: Bu işlem Windows Server 2012 ve sonrası sunucularda ADAC üzerinden uygulanmaktadır. 2008 R2 için ilgili işlem ADSI Edit üzerinden uygulanmaktadır.