Server 2008 öncesinde Active Directory domain yapılarında “Password Policy” ve “Account Lockout Policy “ politika ayarları sadece domain seviyesinden uygulanarak domain ortamında çalışan kullanıcılara etki edebiliyordu. Organization Unit seviyesinden uygulanan GPO ayarları içerisinden yapılan “Password Policy” ve “Account Lockout Policy “ politika ayarları domain ortamındaki kullanıcılara etki etmediğini, sadece o OU altında bulunan bilgisayarların lokal yapısın da açılan kullanıcılara etki ettiğini tekrar belirtmiş olalım. Dolayısıyla domain seviyesinden uygulanan tek bir GPO ile ayarlanan “Password Policy” ve “Account Lockout Policy “ politika ayarları domaindeki tüm hesaplar için ortak oluyordu. Eğer belli kullanıcı yada kullanıcılara farklı “Password Policy” ve “Account Lockout Policy “ politika ayarları yapmak istiyorsak ya üçüncü parti çözümleri kullanmamız ya da domain seviyesinden uygulanan GPO içerisinden kullanılan ayarı değiştirip, farklı ayarı alması istenen kullanıcılara gerekli ayarları uyguladıktan sonra GPO içerisindeki “Password Policy” ve “Account Lockout Policy “ politika ayarlarını tekrar eski haline çevirmek gibi workaround’larla ya da bir diğer deyişle taklalar attırarak buna çözüm üretmemiz gerekiyordu.
Domain seviyesinden genele uygulanan GPO içerisindeki “Password Policy” ve “Account Lockout Policy “ politika ayarlarının yanında Windows Server 2008 ile gelen Fine Grained Password Policies kullanılarak doğrudan kullanıcı hesabına ya da Global Security gruplara özel “Password Policy” ve “Account Lockout” politikları uygulayabiliyoruz. Böylece domain seviyesinden genel olarak tüm kullanıcılar için uygulanacak “Password Policy” ve “Account Lockout Policy “ politika ayarları yapıldıktan sonra kullanıcı ya da grup seviyesinde de özel kullanıcılar için “Password Policy” ve “Account Lockout Policy “ politika ayarları uygulanmış olacaktır.
Server 2008 R2 ile tanıştığımız Active Directory Administrative Center (ADAC) bileşeninin özelliklerini Microsoft Windows Server 8 ile ADAC konsolunda da yeni özellikleri beraberinde getiriyor. Geleneksel olarak kullandığımız Active Directory Users and Computers konsolu yerine ADAC konsolunu daha da zenginleştirerek kullanımını yaygınlaştırmayı amaçlıyor. Bu anlamda da Active Directory Users and Computers konsolu yerine yenilikleri ve geliştirmeleri ADAC konsolu üzerinde yaptığını görüyoruz. Windows Server 8 ADAC konsolu içerisinde gelen yeniliklerden biri de Grafiksel arayüzden yönetilebilen Active Directory Fine Grained Password Policies özelliği. Eskiden hem Windows Server 2008’de hem de Windows Server 2008 R2 işletim sistemleri üzerinde ADSIEDIT aracı ile oluşturduğumuz ve yönettiğimiz FGPP, Windows Server 8 ile ADAC konsolundan daha basit bir forma arayüzünden yönetilebiliyor. Tabi ADSIEDIT aracı ile de eskiden olduğu gibi yönetmek mümkün, fakat ADAC konsolundan yönetimi çok daha kolaylaştırılmış.
Şimdi anlattıklarımızı örnek yaparak pekiştirelim. Öncelikle Metro arayüzden Active Drectory Administrative Center kısa adı (ADAC) olan konsolu açalım.
Konsolumuzu ağaç görünümüne getirdikten sonra Sysytem->Password Policy Setting Container kısmına gelelim. Bu kısımda sağ tıklayarak “New Password Setting” kısmını tıklayalım.
Açılan ekranımızda gerekli kısımları resimdeki gibi dolduralım. Bu kısımları açıklayalım.
Enforce Minimum Password Lenght: En kısa şifre uzunluğu biz 4 olarak belirledik en kısa 4 haneli olabilir.
Enforce Password History: Bu kısımda en son girilen kaç şifrenin kullanılmayacağı belirlenir.
Password must meet complexity requirements: Girilecek olan şifrenin komplex karmaşık şifre olmasının istenmesi durumunda seçilir. Örnek olarak Password1 gibi büyük, küçük harf, rakam karması bir şifreleme olur.
Storage Password using reversible encryption: Şifrelerin veritabanında düz metin (plain-text) moduna benzer bir şifreleme metodu ile saklanıp saklanmayacağını belirler.
User cannot change the password within day: Şifrenin değiştirilebilmesi için geçmesi gereken minimum süre, bir diğer deyişle şifrenin minimum yaşı belirlenir.
User must change the password after days: Şifrenin maksimum kullanım süresi ya da şifrenin kullanım süresi belirlenir. Bu süre sonunda kullanıcı şifreyi değiştirmeden logon olamaz.
Number of failed logon attemps allowed: Şifrenin kaç kez yanlış girilirse kullanıcı hesabının kilitleneceği belirlenir. “0” değeri verilmesi durumunda sınırsız sayıda yanlış girilse de hesap kilitlenmez.
Reset failed logon attemps count after mins: Yanlış girme sayacının sıfırlanma süresi belirlenir. Bu süre sonunda yanlış girişlerin sayısının tutulduğu sayaç sıfırlanır.
Account will be locked out ayarında For a duration of mins: Kilitlenen bir hesabın kilidinin belirtilen süre sonunda açılması sağlanmış olacaktır.
Until ad administrator manually unlocks the account: Kilitlenen bir hesabın kilidi sistem yöneticisi açana kadar kilitli kalması sağlanmış olur.
Biz örneğimizde “FFPP TANIMLAMA1” isimli bir tanımlama yaptık. Bu örneğimizde basit işlem olacağı için sadece kullanıcının şifresinin en az 4 karakter olabileceği geri kalan özelliklerin olmadığı bir yapı belirledik. Geri kalan tüm özellikleri devre dışı bıraktık.
Active directory üzerinden baktığımızda “basit sifre” isimli bir group ve bunun içinde “RIZA SAHAN” isimli bir kullanıcımız var.
Şimdi ADAC üzerinden tekrardan tanımladığımız “FGPP TANIMLAMA1” isimli öğemizin üzerine gelerek sağ tuş yapıp “Properties” diyerek özelliklerini açalım.
Açılan özellikler içerisinde biz bu tanımladığımız öğe üzerinde değişiklikler yapabilir ve ek işlevleri yerine getirebiliriz. Biz değişiklik yapmayacak bu öğeden etkilenecek olan grup tanımlamasını yapacağız. “Directly Applices To” kısmına gelerek burada “Add” butonuna tıklayalım. Bu kısımda bizim Fine Grained Password Policy politikamızdan etkilenecek olan grup belirlemesini yapacağız.
Açılan ekranımızda grup ismimizi girerek veya buldurarak gösterip “Ok” butonuna basalım.
Şu anda “Direct Applies To” kısmına bizim grubumuz eklendi. Grubumuzdaki kullanıcılar burada bulunan Password policiylerini alarak Group Policy bağımsız hareket edebilecek.
Şimdi ADAC üzerinde “basit sifre” isimli grubumuz içerisinde bulunan “Rıza SAHAN” isimli kullanıcımıza sağ tıklayıp “Reset Password” diyerek şifre değiştirme işlemini yapalım.
4 haneli şifre veriyorum. ”OK” butonuna bastığımda hiçbir hata almadım ayarlarımız sorunsuz çalıştı.
Şimdi ise biraz daha zorlaştırılmış bir password policy tanımlayalım. Bu sefer biraz daha sistematik olarak ilerleyelim. Ben “Zoe sifre ou” isimli bir organization unit tanımladım. Bu Ou içerisinde “complex” isimli bir grup tanımladım ve “UFUK SAHAN” kullanıcısını bu gruba üye ettim.
Şimdi ADAC üzerinde yeni bir tanımlama işlemi başlatıyorum.
Bu policymiz üzerinde “En az 9 karakter, son 24 şifre yeni şifre olarak verilemez, complex şifre, kullanıcı en az 1 gün şifre değiştiremez, 42 gün sonra şifresini değiştirmeli” şeklinde zor düzeyde bir şifreleme politikası ayarladık. Bu ayarlarımızı kaydederek bu ekrandan çıkalım.
Bu tanımladığımız Policy templatenin özelliklerine girelim.
Açılan ekranda “Directly Applies To” kısmında “Add” butonuna tıklayalım.
Bu kısımda bu politikadan etkilenecek olan “Complex” grubunu ekleyerek “Ok” butonuna basalım.
Grubumuz eklendi “Ok” butonu ile işlemi sonlandıralım.
ADAC konsolundan “UFUK SAHAN” kullanıcısına sağ tıklayarak “Reset Password” ile şifresini değiştirelim.
8 haneli complex bir şifre verdim.
Bizim politikamız 9 haneli complex olduğu için verdiğimiz şifrenin gerekli koşulları karşılamadığı gerekçesi ile hata verdi.
Şimdi 9 haneli complex bir tanımlama yaptım. Bu tanımlamamda hata vermedi.
Sonuç olarak belli bir kitleye özel olarak basit veya zorlaştırılmış password policy tanımlamanız gerekirse bu işlem Windows Server 8 üzerinde gui ortamdan basite indirgenmiş durumda. Umarım yararlı olmuştur. Farklı bir makalemde görüşmek dileğiyle.