Windows Server 2012 Fine Grained Password Policy
Merhabalar, yine yeni bir Windows Server 2012 makalesi ile birlikteyiz.Daha önce ki bölümlerde, Windows Server 2012 Domain Controller, Active Directory kurulumlarını ele almıştık.Bu makalede ise, Active Directory tarafında gelen yeniliklerden biri olan, Fine Grained Password Policy özelliğine değineceğiz.
İlk olarak Windows Server 2008 ile gelmiş olan Fine Grained Password Policy özelliğini kısa bir şekilde açıklayalım.Bu özellik sayesinde farklı kullanıcı ve gruplar için domain içerisinde özel password policy’ler oluşturmak mümkün.Örnek olarak IT bölümünde çalışanların şifrelerini 15 karakter, IK departmanında çalışanların şifrelerini 7 karakter olacak şekilde Fine Grained Password Policy’ler ile konfigüre edebiliriz.Windows Server 2008 öncesi Active Directory domain yapılarında, tüm domainde tek bir password policy uygulamak zorunda kalıyorduk.Bu durum biz sistem yöneticilerini bazen zor durumda bırakabiliyordu.Windows Server 2008 öncesi ortamlarda bu durumu çözebilmenin ilk yöntemi (her ne kadar kimse tercih etmesede) bir Child domain kurup farklı password policy uygulamak istediğimiz kişileri bu domain’e taşımak idi.İkinci bir yöntem olarak ise, özel password veya account lockout politikalarından etkilenmesini istediğimiz kullanıcılar için, ayrı organizational unit’ler oluşturup, kullanıcıları bu organizational unit’lerin içerisine atarak politikalar uygulamaktır.
Windows Server 2008 ile gelen Fine Grained Password Policy bizi bu uğraştan kurtarmıştır. Diyelim ki, IK departmanı kullanıcılarınız için ayrı bir password policy uygulamanız gerekmekte, ancak bu uygulayacağınız politika diğer kullanıcıları etkilememeli.İşte burada Fine Grained Password Policy ihtiyaçlarımızı tam olarak karşılamaktadır.
Aşağıdaki adımları gerçekleştirerek sizde belirlediğiniz gruplara farklı password policy’ler uygulayabilirsiniz.Bunu yapabilmek için gerekli olan bazı şartlar ise şunlardır;
- Domain Functional Level minumum, Windows Server 2008 olmak zorundadır.
- Fine Grained Password Policy uygulayacak kişi Domain Admins grubuna üye olmalıdır.
- Bu policyler sadece security grup ve kullanıcı hesaplarına uygulanabilir.OU seviyesinde Fine Grained Password Policy yapılamaz.
Yeni bir Fine Grained Password Policy uygulayabilmenin üç yöntemi vardır, bunlar;
- Ldf dosyası hazırlayıp, ldifde komutu ile bu dosyayı import etmek.
- ADSI Edit ile attribute oluşturmak.
- Active Directory Users and Computers kullanılarak (Windows Server 2012 ile geldi)
Windows Server 2012 Fine Grained Password Policy
1)Active Directory Users and Computers veya Active Directory Administrative Center (ADAC) konsolunu açıp, System altındaki Password Setting Container’a geliyoruz.Sağ tuş ile New à Password Settings diyoruz.
2)Karşımıza gelen pencerede istediğimiz gibi, password ve account lockout politikalarımızı belirliyoruz.
3)Password_policy ismini veriyorum.Senaryo gereği, minumum olarak 1 karakterli şifre, daha önceki 12 adet şifrenin hatırlanması, maksimum 12 gün kullanılması ve değiştirilen şifrenin minumum 2 gün kullanılması gibi ayarlar yapıyorum.Aynı zamanda kullanıcı şifresini 5 defa yanlış girdiği zaman hesabının kitlenmesini sağlıyoruz.Oluşturduğum policy’i Serhad isimli daha önce oluşturduğum domain kullanıcıma linkliyorum.
Burada dikkat edilmesi gereken nokta, Precedence değeridir.Önceliklendirme amacıyla kullanılmaktadır.Bir kullanıcı veya grubu birden fazla password policy’i etkileyebilir.Bu tür durumlarda hangisinin öncelikli olacağını buraya yazacağınız sayı belirler.Düşük olan önceliklidir.
4)Kullanıcı hesabının özelliklerine gelerek policy’i kontrol edebiliriz.
5)Sıra geldi deneme aşamasına.Kullanıcı hesabımızın şifresini resetleyerek 1 karakterli şifre belirliyoruz.Herhangi bir hata almadan şifre değişikliği gerçekleştiriliyor.
6)Bu arada yaptığımız ayarların powershell komutlarını, yeni gelen Powershell History bölümünden takip edebiliriz.
7)Ortamda yer alan başka bir kullanıcı hesabının şifresini 1 karakter yapmak istediğimiz zaman, kullanıcı bizim oluşturduğumuz politikalardan etkilenmediği için hata mesajı alıyoruz.
8)Son olarak oluşturduğumuz Fine Grained Password Policy aşağıdaki gibidir.
Windows Server 2012 ile alakalı bir makaleyi daha bitirdik.Artık istediğimiz kullanıcı ve kullanıcı gruplarına yine istediğimiz şekilde şifreler atayabilmekteyiz.Yeni özellikleri anlatmaya devam edeceğiz.Başka bir makalede görüşmek üzere.