GPO ile Password Policy - Mustafa Sabri OĞUZ

Duyurular

21 Kasım 2018 Çarşamba

GPO ile Password Policy

Group Policy Managment ile domain üzerinde ki OU(Organizational  Unit) objelerine, OU'lar içindeki kullanıcılara farklı parola kriterleri nasıl oluşturulur görelim.
 Group Policy'leri yönetebilmek için "Group Policy Managment" penceresini açmamız gerekiyor. Bunun için "Server Manager" üzerinden "Tools" sekmesi altında bulup, çalıştırabilirsiniz.
Görüldüğü üzere "Active Directory" üzerinde ki domain yapısını bizim için listeleyen bir pencere, bizi karşılayacaktır. Buradan istediğimiz OU üzerinden istediğimiz kuralları tanımlaya bileceğiz.

Kafamda ki örnekte personeller için yeni bir grup şifre kuralları tanımlamak. Şifre için oluşturacağımız GPO, hatırlanması kolay olsun diye en az 6 haneli, yazılması kolay (complex - karmaşık olmayan), belirlediği şifreyi en az 1 ay kullanması gerekiyor, şifre 2 ayda bir değişsin ve yeni belirlediği şifre önce ki 5 şifre ile aynı olmasın istiyoruz (Yani aynı şifreyi arka arkaya tekrar kullanmasın).
Yeni tanımlayacağımız kuralların etkilenmesini istediğimiz "Personeller" OUsu üzerinde faremizin sağ tuşuna basarak, "Create a GPO in this domain, and Link it here..." seçeneği ile yeni bir GPO oluşturmaya çalışıyoruz.
Karşımıza gelen pencerede Group policy objesine yeni bir isim veriyoruz. GPO'nun ne görev yaptığını hatırlatacak herhangi bir isim olabilir.
 "Ok" butonuna bastığınızda seçtiğimiz OU içerisinde boş bir Group Policy Objesi oluşacak.
Buna dikkat etmenizi öneririm. Aksi halde en tepede yani domain tabanında oluşturacağınız kurallar domain ortamında ki tüm kullanıcıları etkileyecektir.
Şimdi oluşturduğumuz boş objeye kuralları tanımlamak için üzerine gelip çift tıklayın veya faremizin sağ tuşu ile çıkan pencerede "Edit" seçeneğini seçin.
Local Group Policy tanımlaması yaparken kullandığımız pencerenin aynısı bizi karşılayacak.
Burada dikkat edilmesi gereken bölüm sağ panelde listelenen kuralların Kullanıcılar ve Bilgisayarlar olmak üzere ikiye ayrılmasıdır. Uygulanmasını düşündüğünüz kuralın seçimini gerçekleştirirken hangisi üzerinde gerçekleşeceğinden emin olmanız gerekiyor. Aradığımız Password Policies, " Computer Configuration altında, Windows Settings onun altında, Security Settings altında Account Policy, onunda altında Password Policy seçeneğini seçin. Sağ tarafta göreceğiniz gibi sistemin şifre oluştururken kullandığı kuralları (parametreleri) görmekteyiz. Bunları teker teker açıklamaya ve beraberinde örneğimizi yapmaya çalışacağım.
Enforce Password History: Değiştirilen şifrelerin kayıt sayısını tutar, ben örneğimde sistemin 5 şifreyi hatırlamasını istiyorum. Böylece aynı şifreyi personelin kullanabilmesi için 5 farklı şifre tanımladıktan sonra aynı şifreyi tanımlamasına izin veriyorum.
Maximum Password Age: Şifrenin aktif olarak kullanılabileceği en uzun süre, 2 ay geçtikten sonra yeni şifre tanımlamalarını istedim.
Minimum Password Age: Şifrenin tekrar değiştirilebilmesi için gereken süreyi belirler. Bu aşama Maximum şifre ömrünü belirtirken, otomatik bir öneri ile belirlenebilir. Üst pencerede görüldüğü üzere. Sistem bana 1 aydan önce değiştirilmemesini önerdi.
Minimum Password Length: Kullanıcıların belirleyebileceği parola uzunluğunu belirtir. Normal şartlarda ne kadar uzun o kadar güvenilir demektir. Fakat örnek olduğu için 6 haneli olarak belirledim.
Password must meet complexity requirements: Bu seçenek, şifrenizin ne kadar karmaşık olacağını belirliyor. Eğer aktif olursa, çalışanlarınız en az bir harfi büyük,sayı veya özel karakter tanımlamaları gerekiyor. Örnek; pa$$w0rd, Password1, vs...
Store password using reversible encryption: Bu seçenek normal de varsayılan olarak şifrelerin normal yazı halinde değil de, şifrelenmiş bir şekilde muhafaza edilip, edilmeyeceğini belirleyen kuraldır.
Son kural hariç hepsini tanımladığımıza göre pencereyi kapatabiliriz. Peki ayarlarımızı kontrol etmek istersek, ne yapmalıyız. Bunun için oluşturduğumuz GPO'nun üzerine çift tıklayın.
Artık GPO'nun içeriğini görüntülemeyi başardık. Bu aşamada"Settings" sekmesine tıklayın.
Gördüğünüz gibi tanımladığımız kurallar, kategorilerine göre listelenmiş durum. Artık bu domaine bağlı bilgisayarların bu ayarları alıp, uygulamasını beklememiz gerekiyor. Bu durum bilgisayarlar kapatılıp açıldığın (yada logout, login) olduğunda anında uygulanır. Beklendiği taktirde, Client bilgisayarlar 90-120 dk arasında kendi arkaplan da değişiklik olup olmadığına bakar ve değişiklikleri otomatik olarak uygular.
Aksi halde beklemek istemeyip, direk uygulanması için sunucu üzerinden yazacağımız komut ile clientlere doğrudan uygulayabilirsiniz.

gpupdate /force

Client tarafında ise bu işlemi gerçekleştirmek için
gpupdate
yazıp, uygulamanız yeterli olacaktır. Fakat bu yöntemi, eğer bir nedenden dolayı GPO'ları alamamış bilgisayarlarda tekrar uygulamak zorunda kalıyoruz. Normal şartlarda client tarafında bu işleme gerek kalmadığından kullanıldığı söylenmez. Belki GPO'ları test ettiğimiz bilgisayarlar da kullanılabilinir.

Hiç yorum yok:

Yorum Gönderme