Cómo implementar la administración granular de contraseñas en Windows Server 2012

Con la madurez de la tecnología de TI, la administración de la seguridad de las cuentas en las empresas es cada vez más estricta. La administración de las contraseñas de las cuentas es especialmente importante. El método para garantizar la seguridad de las contraseñas de las cuentas es generalmente El nivel de dominio se configura de manera uniforme con políticas de cuentas y grupos de contraseñas para lograr contraseñas empresariales unificadas. Pero, de hecho, la importancia de las contraseñas para las diferentes cuentas de usuario en la empresa es diferente. Por ejemplo, la contraseña de la cuenta del administrador de TI es más importante que la contraseña del usuario ordinario. Además, la contraseña es demasiado complicada para la operación especial. Para el personal de Uyghur, puede que no sea difícil de recordar, pero para los usuarios normales no es una tarea fácil de recordar. Por lo tanto, la necesidad de configurar una política de contraseña para la cuenta de administrador y la cuenta de usuario de dominio general es Llegó a ser. Entonces, ¿cómo implementar la gestión granular de diferentes políticas de contraseña de usuario? Muchos administradores que no saben mucho acerca de las políticas de grupo criptográfico hacen esto: coloque cuentas de administrador y cuentas de usuario de dominio común en diferentes unidades organizativas planificadas, luego monte diferentes políticas de grupo bajo diferentes unidades organizativas y configúrelas por separado. Se utilizan diferentes políticas de contraseña para administrar diferentes tipos de políticas de contraseña de usuario. Este enfoque parece ser perfecto para la gestión granular de contraseñas, pero ¿podemos lograr los resultados que esperábamos? Sin duda, esto no es suficiente para cumplir con nuestras expectativas. Si no se logran los resultados deseados, ¿cuál es el impacto de la política de contraseña configurada en diferentes unidades organizativas? A continuación vamos a explorar a través de experimentos. Entorno experimental: los servidores DC1 y SVR1 del sistema windows server2012R2 están instalados, en los que DC1 es el controlador de dominio y SVR1 es la computadora en el dominio. Las otras configuraciones son las siguientes: El nombre del servidor tipo de cuenta de la cuenta pertenece al dominio de la OU DC1. Usuario administrador Usuarios del dominio Usuario común dominio computadora SVR1 //SVR1 Local Account Tom //
A continuación, el proceso de configuración experimental: Paso 1: cree un objeto de directiva de grupo e implemente el enlace de la directiva de grupo en DC1, abra el grupo a través de Server Manager - Herramientas - Administración de directiva de grupo Policy Management Console, luego cree un GPO de administrador y un GPO de usuario normal en el objeto de Política de grupo, respectivamente, y vincúlelos a la UO de administrador y usuario normal, como se muestra en la figura: Paso 2: edite el dominio, UO de administrador Tres niveles de política de contraseñas para usuarios comunes OU 1. Seleccione Directiva de dominio predeterminada, haga clic con el botón derecho para editar y luego expanda en el editor de administración de políticas de grupo que se abre: Configuración del equipo - Políticas - Configuración de Windows - Configuración de seguridad - Políticas de cuenta - Políticas de contraseña, y De acuerdo con la siguiente configuración de parámetros: Aquí nos centramos en que la longitud mínima de la contraseña en la política de dominio predeterminada es de 10 bits. 2, el mismo método, seleccione el administrador GPO-edit, configure la política de contraseña en la unidad organizativa del administrador de la siguiente manera: Aquí nos centramos en la longitud mínima de la contraseña de 8 bits. 3. Continúe usando el mismo método, seleccione la edición de GPO del usuario normal, configure la política de contraseña en la unidad organizativa del administrador de la siguiente manera: Aquí nos centramos en la longitud mínima de la contraseña de 6 dígitos. Paso 3: Verifique la política de contraseña válida final. 1. En DC1, abra un símbolo del sistema y ejecute el comando gpupdate /force para actualizar la política de grupo configurada: 2. Abra el usuario de AD y la computadora, abra la OU del administrador e intente restablecer la contraseña de administrador de usuario del grupo de administradores a 8 dígitos. 1qaz @ WSX, aparece el siguiente mensaje emergente: 3, abre la OU del usuario normal, intenta restablecer la contraseña del usuario de dominio ordinario usuario 1 a 6q 1qaz @ W, aparece el siguiente mensaje: 4, vuelve a abrir la OU del administrador para restablecer la contraseña del administrador 1qaz de 10 dígitos @ WSX # E, restablecer la contraseña del usuario a 10 dígitos de 1qaz @ WSX # E, y encontró que la contraseña se ha cambiado, lo que indica que el cambio fue exitoso. Es decir, las políticas de contraseña del GPO de administrador y el GPO de usuario común configuradas en la unidad organizativa del administrador y la unidad organizativa del usuario común no son efectivas. Solo la política de contraseña configurada en el nivel de dominio entra en vigencia. Solo se puede establecer una política de contraseña en todo el dominio. La administración granular de las políticas de contraseña se implementa mediante la configuración de políticas de contraseña para diferentes unidades organizativas. Entonces, la pregunta es, ¿dónde entra en vigencia la política de contraseña que configuramos bajo diferentes unidades organizativas? Continuar para verificar hacia abajo. 5. Cambie a SVR1, inicie sesión con la cuenta de administrador del dominio, abra un símbolo del sistema y ejecute el comando gpupdate /force para actualizar la política del grupo. Luego, abra los usuarios y grupos locales. En este momento, intentamos restablecer el usuario local que Tom creó en SVR1 con la contraseña de 4q 1qaz. En este momento, aparece un mensaje de error: la contraseña no cumple con los requisitos de la política de contraseña, pero no estamos configurados en la política local. Cualquier política de contraseña, y la política de contraseña local no está definida de forma predeterminada, continúe verificando. En este punto, intente restablecer la contraseña de Tom a 1qaz @ W de 6 dígitos. Finalmente, se establece la contraseña. La nueva contraseña de 6 dígitos satisface los requisitos de la política de contraseña, y la política de contraseña no es de la local. Al revisar la configuración de nuestro entorno experimental, la configuración de la política de contraseña asociada con SVR1 solo está a cargo del usuario ordinario de la unidad organizativa a la que pertenece la cuenta de computadora SVR1. La política de contraseña, es decir, aunque la política de contraseña bajo la OU no puede ser válida para la cuenta de usuario de dominio en la OU, es efectiva para el usuario local de la computadora en la OU. En resumen, solo puede haber una política de contraseña en un dominio, y solo la política de contraseña de nivel de dominio entra en vigor, y la política de contraseña de la OU solo tiene efecto en la cuenta local de la computadora en la OU. Esto parece ser contrario al principio de validez y orden de aplicación de la estrategia de grupo que estamos aprendiendo, pero es razonable pensarlo cuidadosamente. La seguridad de la contraseña de la cuenta es muy importante y es necesario realizar una administración unificada. Sin embargo, esto no nos ayuda a lograr una gestión granular de las contraseñas para diferentes usuarios, así que, ¿cómo lograrlo? Consulte Windows
Server2012 para implementar una estrategia de contraseña diversificada (2) para aprender.

En la sección anterior de Windows Server 2012 para implementar la administración granular de contraseñas (1), solo se puede configurar una política de contraseña en un dominio, y solo la política de contraseña configurada en el nivel de dominio es válida, pero esto no nos ayuda. Resuelva la política de contraseñas de implementar contraseñas de usuario para diferentes tipos de usuarios en un dominio para lograr una administración granular de las contraseñas de usuario. Luego, en esta sección, nos centraremos en cómo implementar la administración de granulación granular en el entorno de Windows. Antes de Windows Server 2008, no había otras formas de implementar dos políticas de contraseña en un dominio. Solo se puede configurar una política de contraseña en el nuevo nivel de dominio agregando un nuevo dominio y luego colocando la cuenta de administrador en el dominio recién agregado. Sin embargo, en el dominio existente, una política de contraseña unificada está configurada para usuarios de dominio ordinarios. Aunque este método también puede cumplir con nuestros requisitos, la operación real requiere tanto un nuevo dominio como un problema de acceso de administración entre dominios, lo cual es muy problemático. En la versión de Windows Server 2008, aparece una política de contraseña diversificada que puede establecer diferentes configuraciones de contraseña para diferentes usuarios en un dominio. Para configurar una política de contraseña diversificada en la versión de Windows Server 2008, debe abrir la partición de dominio en el editor ADSI, encontrar el contenedor del sistema, expandir para encontrar el contenedor de configuración de contraseña y luego crear un nuevo objeto, seguir el asistente para implementar la política de contraseña diversificada paso a paso, y Después de la configuración, también debe especificar a qué entidades de seguridad aplicar la política de contraseña (como se muestra en la siguiente figura). Aunque Windows Server 2008 proporciona una gestión granular de las contraseñas, podemos ver que su implementación es muy complicada y la posibilidad de error es relativamente grande. En Windows Server 2012, esta función ha mejorado mucho en términos de operación. No necesitamos abrir el editor ADSI para configurar fácilmente una política de contraseña diversificada directamente a través del Centro de administración de Active Directory en Windows Server 2012. Antes de poder configurar una política de contraseña diversificada, necesita algunos requisitos previos: 1. Permisos: Miembros en el grupo de administradores del dominio 2. Nivel funcional del dominio: Windows Server 2008 o superior 3. Consola administrada: Versión del servidor de Windows2012 Centro de administración de Active Directory
Entorno experimental: la computadora DC1 con el sistema windows server2012R2 instalado y configurado como controlador de dominio con el nombre de dominio contoso.com. Luego, en función del entorno experimental actual, demostraremos el proceso de implementación de la política de contraseña diversificada: Paso 1: actualice el nivel funcional del dominio Inicie sesión en DC1 con la cuenta de administrador predeterminada en el dominio. La actualización del nivel de función del dominio puede abrir la consola del usuario de AD y la computadora o el centro de administración de AD o el dominio de AD y la relación de confianza. Haga clic con el botón derecho en el nivel de dominio para implementarlo. Aquí solo se puede mejorar el nivel funcional del dominio en el centro de administración de AD: El nivel funcional actual es windows server2012R2, por lo que se cumplen los requisitos previos para el nivel funcional del dominio. Paso 2: Prepare la cuenta de prueba en el usuario de AD y la consola de administración de la computadora, cree una nueva prueba de unidad organizativa, luego bajo prueba, cree una cuenta de dominio común Aaron y White, y luego agregue a Aaron al grupo de administradores del dominio como una cuenta de administrador.