Merhabalar, bu makalemizde Windows Server 2008 & R2 sürümü ile hayatımıza gire Fine Grained Password Policie özelliğini Windows Server 2012 & R2 sürümü ile gelişen özelliklerini sizlere anlatacağım.
Bilindiği üzere Fine Grained Password Policie sayesinde Security Group ve Users bazlı olarak password politikaları belirleyebiliyoruz. Server 2008 sürümü öncesinde Password Policy ve Account Lockout Policy ayarları domain bazında yapılabilmekteydi ki oluşturulan password politikası domain de bulunan bütün kullanıcılara aynı şekilde etki ediyordu. Server 2008 ve sonrası sürümlerinde biz sistem yöneticileri için Fine Grained Password Policies kullanılarak kullanıcılara veya Global Security Grouplarına özel password politikaları oluşturma imkanı sunulmuştur.
Server 2008 & R2 sürümlerinde Fine Grained Password Policies yönetimini ADSIEdit konsolu üzerinden gerçekleştirebiliyorduk. Server 2012 & R2 sürümlerinde ise FGPP yönetimini, kullanımı yaygınlaşmakta olan Active Directory Administrative Center (ADAC) konsolumuz üzerinden görsel olarak gerçekleştirebiliyoruz. Bu özellik Server 2012 & R2 sürümü ile beraber gelmiştir ve ADSIEdit Yönetime nazaran ADAC üzerinden çok daha kolaylaştırılmıştır.
Artık Fine Grainde Password Policylerimizi oluşturmaya başlıyalım.
Active Directory Administrative Center (ADAC) konsolumuzu açıyoruz. Sol tarafda yönetimsel menümüz üzerinde Tree(Ağaç) görün modunu açalım ilk önce böylesi daha kolaydır. Mevcut domain hiyerarşimizi genişletiyoruz. Hiyerarşimiz içerisinde bulununan System içerisinde bulunan Password Settings Container’ a geliyoruz. Oluşturacağımız Password Politikalarımızı bu kısımda oluşturacağız. Burada Password Settings Container üzerine sağ click yapıyoruz ve New > Password Settings diyoruz.
Password Policy ayarları
Karşımıza gelen Create Password Setting penceresinde ADSIEdit konsolundan oluşturduğumuz yeni PSO ları ADAC konsolu üzerinden oluşturmak daha pratik hale gelmiştir.
Yeni oluşturacağımız PSO üzerinde yaptığımız işlemleri ve alanları sırasıyla açıklıyalım. Name kısmında PSO’ muz için diğer PSO lardan ayırt edici bir isim belirliyoruz. Precedence kısmında PSO’ muzun öncelik değerini belirliyoruz. Bunun amacı bir user veya glabal security group üzerinde birden fazla PSO tanımlı ise bu öncelik sırasına bakar ve en yüksek öncelik seviyesi hangi PSO da ise o geçerlidir.
Enforce minimum password lenght kısmı kullanıcılar için belirlenecek olan minimum password karakter sayısını belirlediğimiz kısımdır. Enforce password history kısmı kullanıcıların kullandığı en son kaç şifrenin tekrardan kullanılmasının engellediği kısımdır. Password must meet complexity requirements kısmında oluşturulacak olan şifrelerin kompleks olmasının veya olmasının gerekliliğini belirlediğimiz kısımdır. Store password using reversible encryption kutucuğu default olarak boş gelmektedir. Çünkü bu seçenek seçilir ise belirlenen şifrelerini veritabanında düz metin moduna benzer bir şifreleme ile şifreleyerek tutulmasını sağlar. Çözülmesi kolay olduğundan bu kutucuğu işaretlenmemesini önerim. Password age options kısmında ise ilk olarak Enforce minimum password age kısmında belirlenen şifrenin değişitirilebilmesi için geçmesi gereken süreyi belirleriz. Enforce maximum password age kısmında şifrenin maximum geçerliliği kullanılablirlik süresini belirlediğimiz kısımdır.
Account Lockout ayarları
Enforce account lockout policy kutucuğunu işaretliyoruz. Burada ilk olarak Number of failed logon attempts allowed ayarına bakıyoruz. Burada şifrenin kaç kere başarısız denemeden sonra kilitleneceğini belirliyoruz. Reset failed logon attempts count after (mins) kısmında kilitlenen account’ un kaç dakika sonra tekrardan kilitli hesabı açacağını belirlediğimiz kısımdır. Bu süre zarfında yanlış giriş deneme sayısını tutan sayaç sıfırlanır.
Account will be locket out kısmında ilk kısım For a duration of (mins) dir. Burada kilitlenen account’ un kaç dakika sonra tekrardan aktif olacağını belirlediğimiz kısımdır. Diğer seçenek Until an administrator manually unlocks the account dır. Bu seçenek seçilirse eğer kilitnen account’ un sistem yönetici account’ u açana kadar kilitli kalması sağlanmış olur.
Ben yukarıda Muhasebe birimindeki kullanıcılarım için bu bu şekilde bir PSO oluşturdum sizlerede kendine göre düzenleyebilirsiniz.
Oluşturuduğumuz bu PSO’ yu hangi kullanıcı/kullanıcılar veya Global Security Group’ a uygulayacaksak Directl Applies to kısmına gelerek Add deyip ekleyebiliriz.
Oluşturduğumuz PSO’ lar görüldüğü gibi Password Settings Container’ ın içerisinde yer almaktadır. Artık bir Global Security Group’ uzerinde bir PSO’ muzu deneyerek test edelim.
ADAC Konsolumuz üzerinden domain imiz de bulunan Managers grubu için bir PSO atayacağız. Böylelikle bu grub’ a üye kullanıcılarımıza bu password politikası çerçevesinde belirlediğimiz ayarlar uygulanmış olucaktır. Bunun için Managers grubumuzun özelliklerini açıyoruz. Burada bulunan Directly Associated Password Settings kısmına geliyoruz. İçerisi boş durumda şuanda herhangi PSO atanmamış. Bu gruba PSO atamak için Assign… diyoruz. Açılan Select Password Settings Object penceresin de bu grup için atayacağımız PSO muzu ekliyoruz.
Managers Grubumuzun member’ larını ve bu gruba atadığımız Password Setting Object’ imizin geldiğini görüyoruz. Bu üyelerin Password politikaları artık eklediğimiz PSO ayarlarını içerecek ve vu bu doğrultuda belirlenen ayarlara tabi tutulacaklardır.
PSO ayarlarımızın geçerli olduğunu denemek amacı ile Managers grubuna üye olan kullanıcılarımızdan birini şifresini resetliyelim. PSO politikamda belirlediğim kriterlere göre şifrem minimum 7 karakter ve komplesk olması gerekiyor. Buna uymayan bir deneme hata verecektir. Bunun için Managers grubunda bulunan bir kullanıcıma sağ click yaparak Reset Password… diyorum.
Karşımıza gelen şifre sıfırlama penceresinde kompleks olmayan 7 karakterden aşağı 12345 diye bir şifre veriyorum ve OK diyorum.
Görüldüğü gibi verilmeye çalışılan şifre PSO’ muzun kriterlerine uymadığı için böyle bir hata verecektir.
Not : Bir kullanıcı veya grup üzerinde birden fazla tanımlanan PSO’ ların hangisinin geçerli olacağı Precedence değeri küçük olanın dır yani öncelik sırası buna göre belirlenir ve uygulanır.
PSO’ lar kullanıcı bazlı olarak değilde bir grup üzerinde uygulanması karışıklığa maal vermemek için tercih edilmelidir.
Bu makalemde sizlere Fine Grained Password Policie özelliklerini, oluşturulması ve kullanıcı/gruplarda nasıl uygulanacağını anlattım. Kullanıcılara ve ya gruplar üzerinde uygulana PSO’ lar uygulandığı kullanıcı ve gruplara etki eder. Bunların dışında kalan gruplar ve kullanıcılar Domain bazında belirlenmiş olan Password Policy ve Account Lockout Policy GPO’ sunda belirlenmiş konfigürasyonı kullanmaktadırlar.
Umarım sizlere faydalı olacaktır.
Birol BOZKURT 