Самым простым способом настроить требования к политике паролей в Active Directory является использование оснастки mmc «Управление групповой политикой». Для этого нам необходимо на контроллере домена выполнить следующую последовательность действий: Пуск — Администрирование — Управление групповой политикой.
Настроить политику паролей в Active Directory можно только в Default Domain Policy. Такова особенность, использование других специально созданных для этого политик вам не поможет, имейте это ввиду.
Выделим Default Domain Policy и нажмем правую кнопку мыши Изменить.
Откроется окно редактора групповой политики по умолчанию. Для внесения изменений в политику паролей необходимо открыть ветку: Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики учетных записей.
в окне слева вы можете изменить:
- Политику паролей
- Политику блокировки учетной записи
Настройка политики паролей
В данной секции вы можете настроить:
- Журнал паролей
- Максимальный срок действия пароля
- Минимальную длину пароля
- Минимальный срок действия пароля
- Требование к сложности пароля
- Хранить пароли, используя обратное шифрование
| Политика | Краткое пояснение | Возможные значения |
| Вести журнал паролей/ Enforce password history | Определяет число новых уникальных паролей | 0-24 |
| Максимальный срок действия пароля/ Maximum password age | Определяет период времени (в днях), в течении которого можно использовать пароль, пока система не потребует сменить его. | 1-999 |
| Минимальная длина пароля / Minimum password lenght | Параметр определяет минимальное количество знаков, которое должно содержаться в пароле | 0- без пароля
1-14 |
| Минимальный срок действия пароля/ Minimum password age | Параметр определяет период времени (в днях)?в течении которого пользователь должен использовать пароль, прежде чем его можно будет изменить. | 0-998 |
| Пароль должен отвечать требованиям сложности / Password must meet complexity requirements | Параметр определяет должен ли пароль отвечать сложности:
-не содержать имени учетной записи — длина не менее 6 знаков — содержать заглавные буквы (F, G,R) — содержать строчные буквы (f,y,x) — содержать цифры — содержать спец знаки (#,@,$) |
Включена/ Отключена |
| Хранить пароли, используя обратимое шифрование / Store passwords using reversible encryption | Параметр указывает использовать ли операционной системой для хранения паролей обратимое шифрование. | Включена/ Отключена |
Настройка политики блокировки учетной записи
Доступно три варианта настройки блокировки учетной записи и время до сброса блокировки:
- Время до сброса счетчика блокировки
- Пороговое значение блокировки
- Продолжительность блокировки учетной записи
В этой политике есть один скользкий момент. Следует понимать, что если вы используете блокировку учетной записи при ошибке входа в сеть, злоумышленник, используя метод подбора паролей к вашим учетным записям, может заблокировать все аккаунты пользователей и блокировать работу ЛВС. Эту политику нужно использовать осторожно и помнить что она действует на все учетные записи в том числе и системные.
После внесения изменений в GPO, политики Default Domain Policy, необходимо подождать некоторое время, пока на клиенте произойдет применение изменений GPO. Как правило на клиента политики транслируются раз в четыре часа, на сервера сразу же. Для ускорения применения политик рекомендуется на клиенте используя интерфейс командной строки выполнить gpupdate /force и перезагрузиться.