Herkese Selamlar.Windows Server 2008 ile birlikte hayatımıza katılan yenilik ve özelliklerden bahsetmeye devam ediyoruz.Bu bölümde Server 2008 Active Directory üzerinde Fine-Grained Password Policy uygulamasını inceleyeceğiz.Yani kullanıcı bazlı Password politikalarını nasıl oluşturacağımızı öğreneceğiz.

Hepimizin bildiği gibi Server 2003 zamanında Site,Domain,OU bazlı olarak tek bir Password Policy belirleyebiliyorduk.Bu tür bir Policy’i kullanıcı bazlı yapamıyorduk.Bu durum biz sistem yöneticilerini bazen zor durumda bırakabiliyordu. Bunu Windows Server 2003 ortamında çözebilmenin tek yolu bir Child domain kurup farklı password policy uygulamak ve istediğimiz kişileri bu domain’e taşımak idi.Server 2008 AD DS içerisindeki yeni özelliklerden biride Fine-Grained password policy’lerdir.Bu özellik sayesinde farklı kullanıcı ve gruplar için domain içerisinde özel password policy’ler oluşturmak mümkün.Bu şekilde bilgisayarı gündelik işler için kullanan standart şirket çalışanları için ayrı policy’ler belirliyebilip,sık sık şifre değişikliği yapmak istemeyen kişiler içinde farklı policyler oluşturabilmekteyiz.IT bölümünde çalışanların şifrelerini 15 karakter, IK departmanında çalışanların şifrelerini 7 karakter olacak şekilde Fine-grained password policy’ler ile konfigüre edebiliriz veya sık sık şifresi expire olmaması gereken tek bir kullanıcı için istediğimiz şifre ayarlarını yapabiliriz.

Windows Server 2008 ile gelen Fine-Grained Password Policy bizi bu uğraştan kurtarmıştır.Diyelim ki IK departmanı kullanıcılarınız için ayrı bir password policy uygulamanız gerekmekte,ancak bu uygulayacağınız politika diğer kullanıcıları etkilememeli.İşte burada Fine-Grained Password Policy ihtiyaçlarımızı tam olarak karşılamaktadır.Ancak bu özelliği kullanabilmemiz için aşağıdaki şartları sağlamamız gerekmektedir:

●Domain Functional Level Windows Server 2008 olmak zorundadır.

●Fine-grained password policy uygulayacak kişi Domain Admins grubuna üye olmalıdır.

●Fine-grained password policy sadece grup ve kullanıcı hesaplarına uygulanabilir.OU seviyesinde fine-grained password policy yapılamaz.

Senaryomuz gereği AD üzerindeki Boss isimli OU  altında bulunan Serhadm isimli kullanıcıya ayrı bir password policy uygulacağız. 

Windows Server 2008 Fine-Grained Password Policy Uygulaması

1)Fine-Grained Password Policy uygulaması direk Schema üzerinden gerçekleştirilen bir işlemdir.Bundan dolayı Adsiedit konsolunu kullanacağız.Bundan dolayı ilk olarak bu konsola girip bu işlemi yapacağımız DC’ye bağlanacağız.

Windows Server 2008 Fine-Grained Password Policy

2)Şu anda üzerinde çalışmış olduğum DC makinasında gerekli işlemleri yapacağımdan dolayı default ayarlara ok diyerek devam ediyorum.

3)Karşımıza gelen Adsiedit konsolunda CN=System altından CN=Password Settings Container üzerine sağ tıklayıp yeni bir Object oluşturuyoruz.

4)Class penceresini next diyerek geçebiliriz.

5)Oluşturacağımız Schema objesine bir isim veriyoruz.

6)Bu pencerede ise eğer kullanıcıya etki edicek birden fazla Password Settings Object(PSO) olucaksa onun önceliklendirmesini gireceğimiz bir integer(sayı) değer ile belirliyebilmekteyiz.AD hangi policy’nin öncelikli olucağına bu sayı ile karar vermektedir.

7)Encryption kullanmayacağım için bu niteliğin değerini FALSE olarak belirliyorum.

8)Geldik Password History ayarını yapmaya.Kullanıcının en son hangi password bilgisinin hatırlanacağını buradan ayarlıyoruz.Bu şekilde kullanıcı en son kullandığı şifreleri güvenlik gereği tercih edemez.Ben en son 24 tane şifrenin hatırlanmasını istiyorum.

9)Her zaman Password bilgisinin Complex olması tercih edildiğinden dolayı bu değere TRUE yazıyorum.

10)Kullanıcınıza belirlemek istediğiniz şfre uzunluğunu buradan ayarlıyoruz.Minumum 8 karakterli olmasını istiyorum.

11)Şimdiki adımda Minumum Password Age değerini belirleyeceğiz.Default olarak bu değer 1 gündür.Hepimizin bildiği gibi bu policy ile,şifre değişikliği yapan kullanıcının minumum 1 gün boyunca yeni şifresini kullanmasını sağlıyoruz.Aynen default olarak gelen ayarı kullanacağım.Ancak burada yazım formatımız biraz değişiyor.Aşağıdaki resimdede görebileceğiniz gibi vereceğimiz değerler soldan sağa doğru,Gün,Saat,Dakika,Saniye şeklindedir.

12)Aynı şekilde Maximum Password Age ayarını yapıyoruz.Default olarak gelen süre 42 gündür.Yine o değeri belirliyorum.

13)Geldik AccounLockOut ayarlarını yapmaya.Kullanıcı şifresini kaç kez yanlış girdiği zaman hesabının kilitleneceğini buraya gireceğimiz sayılar ile belirliyoruz.Ben 3 kez olarak belirledim.

14)Yanlış girilen şifre bilgisini tutan sayacın 30 dakikada bir resetlenmesini istiyorum.Aynen yukarıdaki yazım formatı ile bunuda ayarlıyoruz.

15)LockOut ile alakalı son bir ayar yaparak işimizi tamamlıyoruz.Bu bölümde ise Lock olan hesabın ne kadar süre boyunca bu şekilde kalacağı belirlenmektedir.Yine 30 Dakika olarak belirliyorum.Sonrasında Finish diyerek wizard’ı sonlandırabiliriz.

16)Sıra geldi oluşturduğumuz Schema Attribute’unu kullanıcımıza uygulamaya.Objenin özelliklerine giriyoruz.

17)msDS-PSOAppliesTo değerini bulup edit butonuna tıklıyoruz.

18) Karşımıza gelen pencerede Add Windows Account butonuna tıklayarak bu policy’i uygulamak istediğimiz kullanıcıyı seçeceğiz.

19)Kullanıcımızı bulup ekliyoruz.

20)Evet son durum aynen aşağıdaki gibidir.

21)Sıra geldi test aşamasına.Acaba gerçekten bu işlem oldumu çalışıyormu diye düşünüyorsanız hemen ispat edelim.İlk olarak Advanced Features’ı seçiyoruz.Sonrasında AD üzerinde bu policy’i uyguladığınız kullanıcıyı bulup özelliklerine giriyorsunuz.

22)Kullanıcının özelliklerinde Attribute Editor bölümüne gelip Constructed seçeneğini görüntülüyoruz.

23)İşte uyguladığımız policy msDS-ResultantPSO Attributunde gözükmektedir.

Evet Arkadaşlar bir makalenin daha sonuna geldik.Bu bölümde Server 2008 ile birlikte bize kazandırılan yararlı bir güvenlik uygulamasını adım adım yaptık.Artık istediğimiz kullanıcı ve kullanıcı gruplarına yine istediğimiz şekilde şifreler atayabilmekteyiz.Bir başka makalede görüşmek üzere,

Hoşçakalın..

Close