Sayfa 1/2 12 SonSon
12 sonuçtan 1 ile 10 arası

Konu: domain controller security policy

  1. #1
    Yeni Üye
    Üyelik tarihi
    Nov 2006
    Mesajlar
    43

    Standart domain controller security policy

    merhabalar;
    domain controller security policy ile domain security policy arasındaki farklılıklar nelerdir?
    yani domain controller security policy'de şunları yapabilirsiniz domain security policy 'de şunları yapabilirsiniz veya yapamazsınız diye açıklarmısınız?
    şundan dolayı soruyorum;
    account lockout policy'yi dc'de uygulamak istedim
    dc'de olduğu için açtım domain controller security policy'yi istediğim değerleri verdim gpupdate /force yaptım dc'yi restart ettim
    ama istediğim değerler uygulanmadı.
    rsop.msc yi koşturdum baktım ki hiç bir policy uygulanmamış
    gittim bu sefer domain security policy'den verdim değerleri rsop.msc ile baktım evet uygulanmış ama yine istediğim değerlerde yanlış parola girişinde dc'yi kilitlemiyor
    bu neden olabilir
    herşey sıfır tek yaptığım adminin adını nihat diye rename etmek
    teşekkürler
     

  2. #2

    Standart Ynt: domain controller security policy

    Merhaba,

    1. Domain Controller Security Policy > Sizin DC nizin kendine ait olan policy sidir.
    2. Domain Security Policy > Domain icin default gelen ilk policy'dir.

    Emre AYDIN
    Emre Aydın
    MVP | Office 365 | Since 2006
    MCT | Since 2005
    MCSD | Azure Solutions Architect
    MCSE | Private Cloud, Messaging, Communication, Server Infrastructure, Productivity, Platform
    MCSA | Office 365, Server 2012, Cloud Platform
    MCTS | Developing Azure Solutions, Implementing Azure Infrastructure, Architecting Microsoft Azure Solutions, SAM
    P-Seller
    Intelligent Cloud | EMS
    Web : www.mshowto.org
    Mail : emre.aydin [@] mshowto.org
    Twitter : https://twitter.com/emreaydn
    Linkedin : tr.linkedin.com/in/emreaydn

  3. #3

    Standart Ynt: domain controller security policy

    Merhaba,

    Account lockout policy, kerberos policy ve password policy domain bazinda ayarlanan politikalardir, tektirler ve sadece default domain policy'den ayarlanabilir. Diger politikalarda yapacaginiz bu ayarlar sadece politikadan etkilenen local hesapları etkiler. Yani belirtiginiz ayarlari Default Domain policy'de yapmaniz gerekirdi (Not içerisinde kalın karakterler ile nedeni aciklanmış).


    http://www.microsoft.com/technet/sec.../s3sgch03.mspx ve http://www.microsoft.com/technet/sec.../tcgch02n.mspx makalelerini de incelemenizde fayda var.

    Note: For domain accounts, there can be only one Account policy per domain. The Account policy must be defined in the Default Domain Policy or in a new policy that is linked to the root of the domain and given precedence over the Default Domain Policy, which is enforced by the domain controllers that make up the domain. A domain controller always pulls the Account policy from the root of the domain, even if there is a different Account policy applied to the OU that contains the domain controller. The root of the domain is the top level container of the domain, not to be confused with the root domain in a forest; the root domain in a forest is the top level domain within that forest.
    www.mshowto.org , Server 2000-2003, Exchange 2000-2003-2007, ISA 2000-2004-2006 üzerine bir site

  4. #4
    Yeni Üye
    Üyelik tarihi
    Nov 2006
    Mesajlar
    43

    Standart Ynt: domain controller security policy

    merhaba;
    boran hocam ilginize teşekkür ederim.
    yanlız default domain policy'den de yapınca rsop'ta tamam policy uygulanmış gözüküyor ama oturum açmaya çalışınca sayı sabit 6 defa yanlış giriyorum biraz bekliyor oturum kilitlenmiyor tekrar 6 defa yanlış giriyorum yine az bekliyor tekrar 6 yanlış hak.
    bu duruma bir yorum yaparmısınız.
    teşekkürler
    saygılar
     

  5. #5

    Standart Ynt: domain controller security policy

    1) Domain Administrator hesabı ile test ediyor olabilirsiniz. (Aksi belirtilmedikce Domain Admin ve Local admin hesapları kilitlenmez)
    2) Account Lockout Duration suresi, beklediginiz sureden azdir. Bekledikten sonra hesabın kiliti kalkıyor olabilir. (Not bu sureyi 0 girerseniz, kilitlenmez anlamina gelmiyor aksine admin acana kadar kilitli kalir anlamina geliyor).
    3) Logon denemelerinde domain degilde local bilgisyar secili

    Yorumlarim bu sekilde.
    İyi çalışamalar.
    www.mshowto.org , Server 2000-2003, Exchange 2000-2003-2007, ISA 2000-2004-2006 üzerine bir site

  6. #6
    Yeni Üye
    Üyelik tarihi
    Nov 2006
    Mesajlar
    43

    Standart Ynt: domain controller security policy

    hocam merhaba;
    benim amacım zaten güvenlik açısından dc üzerinde herhangi bir atağa karşı domain admin hesabının kilitlenmesi.evet domain admin ile test ediyorum ve logon denemeleri domain seçili olarak yapılıyor.
    bir yorum daha lütfen
     

  7. #7

    Standart Ynt: domain controller security policy

    merhabalar
    boran bey'in de dediği gibi aksi belirtilmedikçe domain admins grubuna dahil kullanıcıların hesapları kilitlenmez ancak account lockout threshold seçeneğini 3 yapıp account lockout duration (hesabın açılıncaya kadar bekleyeceği süre) seçeneğini 30 dakika olarak ayarlayabilirsiniz.
    bu da size 3 defa yanlış girilmiş şifrenin 30 dk sonra tekrar bir 3 defa daha girme imkanı sağlar. bu da şifrenin uzun bir süre inaktif olmasını sağlayabilir.

    ancak Administrator şifresini kırmak ya da ataklara karşı korumak için P@ssW0rd1032 gibi komplex şifreleme yapmanız, Administrator hesabı ile domain yönetimini yapmamanız domain controller'ınızın rdp ile erişimlerinin firewall'dan sizin belirttiğini IP Adreslerinden erişimine izin vermeniz .... vs gibi güvenlik önlemleri ile de korunmasını sağlayabilirsiniz.

  8. #8
    Yeni Üye
    Üyelik tarihi
    Nov 2006
    Mesajlar
    43

    Standart Ynt: domain controller security policy

    ahmet hocam merhaba;
    aslında dediklerinizi birebir yapıyor.complex şifre,firewall'dan belli ip'ye izin verme gibi. ama birde bunu aktif hale getireyim dedim ama olmayınca dedim bilmediğim birşeyler var sanırım.
    account lockout threshold 2
    account lockout duration 2 yapıp deniyorum rsop'tan da alıyor gözüküyor ama dediğim gibi açılışta 6 sefer hatalı giriyorum biraz bekliyor 6 defa daha yanlış girebiliyorum.
    aksi belirtilmedikçe ile kastettiğiniz nedir? özel bir durum mu var yani? bu verdiğiniz 3 ve 30 sayıları özel sayılar mı acaba?
    bu postta bu konu ile ilgili tüm eksiklerimi kapatmak istiyorum izninizle
    ilginiz için teşekkürler
     

  9. #9

    Standart Ynt: domain controller security policy

    Default olarak bu hesaplar lock olmuyor ve silinemiyor. Bence güvenlik icin Administrator hesabının ismini degistirin (rename) ve karmasik (cok karmasik, uzun ve alfanümerik karakter, sayilar icerecek sekilde) bir sifre verin ve bu hesabı normal islemlerinizde kullanmayin. Gelismis guvenlik icin asagidaki dokuman guzel.
    http://www.microsoft.com/technet/sec.../aapgch03.mspx

    Boran Düzgün
    www.mshowto.org , Server 2000-2003, Exchange 2000-2003-2007, ISA 2000-2004-2006 üzerine bir site

  10. #10

    Standart Ynt: domain controller security policy

    Aksi su sekilde, ve gercekten lock olmasini istiyorsaniz sunlari yapabilirsiniz.

    Domain Administrator hesabını disable edin. Hatta Rename edip disable edin. (Bu islemleri Default domain controller policy'de Security Options'dan yapin.)
    Yeni bir hesap oluşturun ve Domain Admins grubuna uye yapin (ısterseniz diger gruplarada ent. admin, schema admin gibi -sonra yetki ihtiyacında yapilmasi daha iyi olur) ve yetki isteyen islemlerinizda bu hesabı kullanin. Bu hesap lock olacaktir. (Domain Admins grubu uyeleri lock olur)

    Boran Düzgün


    www.mshowto.org , Server 2000-2003, Exchange 2000-2003-2007, ISA 2000-2004-2006 üzerine bir site

Benzer Konular

  1. Additional Domain Controller kurulumu-Exchange server
    By eminbircan in forum Exchange Server
    Cevaplar: 1
    Son Mesaj: 11-05-2007, 11:05 AM

Yetkileriniz

  • Konu Açma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok
  •  
Hakkımızda
MSHOWTO, herhangi bir firma ya da kuruluş ile bağı olmayan bağımsız teknik bir topluluktur.
Sosyal Medya Linklerimiz