Server 2008’de Password Policy ayarları

Merhaba Arkadaşlar,   Server 2008 için bir çok arkadaşımızın başına dert olan ve İnternet ortamında yeteri kadar Türkçe kaynak bulunmamasından dolayı bazen aşılamayan bir hal alan Password Policy hakkında bilgi […]

Merhaba Arkadaşlar,

 

Server 2008 için bir çok arkadaşımızın başına dert olan ve İnternet ortamında yeteri kadar Türkçe kaynak bulunmamasından dolayı bazen aşılamayan bir hal alan Password Policy hakkında bilgi vermeye çalışacağım.Aynı zamanda sıralı makalelerimi okuyarak kurulum yapan arkadaşlarımı da yönlendirmeye çalışacağım.

Hemen altını çizerek belirtmek istediğim bir kaç şey var;

Account Policy için yapılan ayarlamalar bütün Domain’de geçerli olur.

Account Policy;

  • Password Policy
  • Account Lockout Policy
  • Kerberos Policy

Başlıklarını kapsar.Ama Server 2008 ile beraber gelen Fine Grained özelliği ile bunu istersek User yada Grup seviyesinde uygulayabiliriz.Bunu bir sonraki makalemde yazacağım.

Server 2008 R2,Foundation,Standart,Enterprise versiyonu farketmeksizin tüm versiyonlarda Active Directory kurulumundan sonra Pasword Policy Defult olarak aynı gelir.

Gereksenimleri şöyledir;

  • Minimum 7 karakter uzunluğunda olması istenir.
  • Oluşturulan şifre Karmaşık(copmlexity)olmalıdır.Yani büyük ve küçük harf ile içinde rakam bulundurmalı.MesalaAa12345 gibi.
  • Oluşturulan şifre en çok 42 gün kullanılabilir.Gerçi bunu yeni kullanıcı hesabı açarken yada var olan hesabın özelliklerinde Password never expires seçeneğini aktif hale getirerek devre dışı bırakabiliriz.
  • Şifre değişikliğinde kullanıcı bazlı olarak son kullanılan 24 şifreyi sistem hatırlayıp kullanılmasına izin vermez.
  • Kullanıcılar kendi şifrelerini değiştirebilirler fakat aynı gün içinde sadece 1 defa şifre değişikliği yapabilirler.

Gibi oldukça katı ve tamamen kaynaklara istenmeyen kişilerin ulaşmasını engellemek adına Microsoft tarafından belirlenmiştir.

Ülkemizde bu kalıplara uygun bir şifreleme sistemini kullanmak pek mümkün değildir.

Bundan dolayı biraz daha esnek bir Password Policy oluşturmak gerekmektedir.

Sanırım yeteri kadar ön bilgi sahibi olduk artık Password Policy değişikliklerine geçebiliriz.

 

Resim-1

 

Resim-1′deki gibi Password Policy değişikliği için Start\Administrative Tools\GroupPolicy Management yoluyla erişebiliriz.

Resim-2

Karışımıza Resim-2′deki Group Policy Management konsulu çıkar.

Resim-3

Bu konsoldaki Default Domain Policy üzerine gelip Edit diyoruz.

Resim-4

Ardından karşımıza Resim-4′teki gibi Group Policy Management Editor penceresi açılıyor.

 

Resim-5

Burdan sırasıyla;

ComputerConfiguration\Policies\Windows Settings\Security Settings\AccountPolicy\PasswordPolicy

Yolunu takip ediyoruz.Artık karşımızda Password Policy ayarlarımız var.

İlk önce seçeneklerimizi açıklayalım;

Enforce Password History:Son kullanılan şifreleri sistem tarafından kaydedilip kullanımına izin verilmemesi.

Maximum Password Age:Kullanılcı şifresinin değiştirilmeden ne kadar süre kullanılacağı.

Minimum Password Age:Kullanılıcı şifresinin en az ne kadar süre kullanılacağı.

Minimum Password Length:Kullanılıcı şifresinin en az kaç karakter olacağı.

Password Must Meet Complexity Requirements:Kullanılıcı şifresinin karmaşık(Büyük-küçük harf ve içinde rakam bulundurması) olup olmayacağı.

Store Password Susing Reversible Encryption:Çok detay vermeyeceğim.Belirtmemiz gereken IP SEC protokolünü kullanarak kullanıcıların ortamda oturum açmalarını sağlar.Birde bu seçeneği aktifleştirirsek ortamda Apple varsa oturum açamaz.

Şimdi gelelim istediğimiz şekilde Passwor Policy oluşturmaya.

Resim-5′teki gibi Group Policy Management Editor konsoluna geliyoruz.

Resim-6

Minimum Password Length seçeneğine çift tıklıyoruz.


Resim-7

Password must be at least , Defult olarak 7 karekterdir.Ben şifreyi tek karakterden oluşturmak istediğim için burayı “1″ yapıp OK sekmesinı tıklıyorum.Eğer şifrenin boş bırakılabilmesini de istiyorsak “0″ yapmamız gerekir.

Resim-8

Ardından Password must meet complexity requirements seçeneğine çift tıklayıp giriyoruz.

Resim-9

Karşımıza gelen ekranda Disabled konumuna getirip OK sekmesiyle işlemi bitiyoruz.

Şimdi yaptığımızı değişikliklerin geçerli olmasını hızlandırmak için yapmamız gereken tek bir işlem kaldı.Normal şartlarda Policy üzerinde yapılan değişiklikler yaklaşık 15 Dakika sonra geçerli olur.Yada oturum kapatıp açamamız gerekir.Ama ne 15 dakika beklemek nede oturum kapatıp açmak yerine daha da hızlandırabilmemiz mümkün.Bunu da komut sistemi üzerinden gerçekleştiririz.

Resim-10

Start(Başlat) üzerine gelip arama çubuğuna cmd yazıyoruz.

 

 

Resim-11

Açılan konsola gpupdate /force yazıp çalıştırıyoruz.

Resim-12

Resim-13

Komutumuz başaralı olarak çalıştı.Artık belirlediğimiz Password Policy kullanıma hazır.

Son olarak dediğimiz gibi Password Policy üzerinde yaptığımız değişiklikler tüm Domain’de geçerli olur.Ama Server 2008 ile beraber gelen Fine Grained özelliği ile bunu istersek User yada Grup seviyesinde uygulayabiliriz.Bir sonraki makalemde bu konuyu açıklamaya çalışacağım.

Umarım faydalı olabilmişimdir.

Bir başka makalede görüşmek üzere….

About volkansayf