>Хорошие новости о политиках безопасности и паролях в W2k8

>

Пожалуй, пора начинать писать те крохи интересного, которые мне становятся известными о Longhorn (ничего, если я буду продолжать его называть так?). Крохи потому, что никак не дойдут руки потрогать, что он из себя представляет.

Первое, чего очень не хватало в прежних версиях Windows Server: есть ли кто-нибудь, кто не проклинал отсутствие возможности в одном домене указать несколько разных политик паролей для разных членов домена? Я думаю, что таких людей мало. В итоге, приходилось либо задавать в домене более слабые политики, чем хотелось бы, либо заставлять несчастных пользователей, которым это, в принципе, не особенно было нужно, запоминать длинные и сложные пароли, либо вводить второй домен для подразделений с другими требованиями безопасности, либо пользоваться другими средствами (smartcards , например). Не очень хорошо и не очень удобно, не так ли? Так вот, в Windows Server 2008 проблема вроде решена. Правда, не совсем так, как я ожидал.

Сначала, пожалуй, о решении, а потом о моих ожиданиях. =) Собственно, для осуществления данной фичи в Active Directory были введены новые объекты:

  • Password Settings
  • Password Settings Container

Password Settings Containers содержат в себе Password Settings Objects, которые содержат различные параметры (срок жизни пароля, требовать или нет сложный пароль и т.д.). Для существования таких возможностей domain functional level должен быть Windows Server 2008 (кто-то сомневался? ;) ). А теперь о неожиданностях. Новые политики паролей применяются к… нет, не Organizational Units. Они применяются к пользователям и глобальным группам безопасности. У политик есть приоритет, чем выше приоритет (а на самом деле, чем ниже значение атрибута msDSPasswordSettingsPrecedence), тем выше приоритет политики. То есть если пользователь входит в несколько групп с назначенными политиками и/или ему самому назначена политика, то применяться будет та, у которой выше приоритет (ниже указанный атрибут).

Каковы минусы такой фичи? Из-за того, что применяются политики не к OU, а к группам/пользователям, политики не накладываются друг на друга, а, вместо этого, применяется лишь одна. Из этого следует, что в каждой политике должны быть определены все параметры (их 9). Каковы плюсы? Собственно, мы наконец-то получаем некую гибкость политик паролей в пределах одного домена – чего еще желать? =)

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s