Windows Server 2003’ün tüm organizasyonunuzda tek bir password politikası uygulamaya izin vermesinden dolayı, bu durum biz sistem yöneticilerini sürekli olarak değişik arayışlara yöneltmekte idi. –idi ekini kullanıyorum, çünkü Windows Server 2008 ile gelen fine-grained password policy bizi bu arayıştan kurtarmıştır. Diyelim ki Ar-ge departmanı kullanıcılarınız için ayrı bir password politikası uygulamanız gerekmekte, ancak bu uygulayacağınız politika diğer kullanıcıları etkilememeli. İşte bu noktada fine-grained password policy tüm sorunlarımıza çare bulmaktadır.
Aşağıdaki adımları gerçekleştirerek sizlerde belirlediğiniz gruplara farklı password policy’ler uygulayabilirsiniz.
1. Start, Run’ı çalıştırın. Adsiedit.msc yazıp Enter tuşuna basın.
Şekil-1
2. ADSI Edit konsolu açıldıktan sonra, sağ tıklayın ve Connect to seçeneğine tıklayın.
Şekil-2
3. Connection Settings diyalog kutusu açılır. OK tuşuna basın.
Şekil-3
4. Default Naming Context seçeneğini genişletin ve sırasıyla DC=Domain_adınız, DC=com,CN=System seçeneklerini açın. CN=Password Settings Container seçeneğini açıp boş bir alana sağ tıklayın. New’den object seçeneğine tıklayın.
Şekil-4
5. Create Object penceresini Next tuşuna basarak geçin.
Şekil-5
6. Value tipi olarak görüntülenmesini istediğiniz bir isim yazın ve Next tuşuna basın.
Şekil-6
7. Password Settings Precedence değeri olarak 10 yazın ve Next tuşuna basın.
Şekil-7
8. msDS-PasswordReversibleEncryptionEnable değeri olarak FALSE yazın ve Next tuşuna basın.
Şekil-8
9. msDS-PasswordHistoryLength değeri olarak 30 yazın ve Next tuşuna basın.
Şekil-9
10. msDS-PasswordComplexityEnabled değeri olarak TRUE yazın ve Next tuşuna basın.
Şekil-10
11. msDS-MinimumPasswordLength değeri için 10 yazın ve Next tuşuna basın.
Şekil-11
12. msDS-MinimumPasswordAge değeri olarak -5184000000000 yazın ve Next tuşuna basın.
Şekil-12
13. msDS-MaximumPasswordAge değeri olarak –6040000000000 yazın ve Next tuşuna basın.
Şekil-13
14. msDS-LockoutThreshold değeri olarak 3 yazın ve Next tuşuna basın.
Şekil-14
15. msDS-LockoutObservationWindow değeri olarak -18000000000 yazın ve Next tuşuna basın.
Şekil-15
16. msDS-LockoutDuration değeri olarak -18000000000 yazın ve Next tuşuna basın.
Şekil-16
17. Finish tuşuna basarak pencereyi kapatın.
Şekil-17
18. ADSI Edit konsolunu kapatın. Active Directory Users And Computers konsolunu açın ve View seçeneğinden Advanced Features seçeneğine tıklayın.
Şekil-18
19. System bölümünü genişletin ve Password Settings Container da hazırladığınız PSO dosyasına sağ tıklayıp Properties’e tıklayın.
Şekil-19
20. Hazırlamış olduğunuz PSO dosyasının diyalog kutusundaki Attribute Editor tabına geçin ve Description seçeneğini işaretleyip Edit tuşuna basın.
Şekil-20
21. Value to Add bölümüne password policy için bir açıklama yazın ve Add tuşuna basın ve OK ile pencereyi kapatın.
Şekil-21
22. msDS-PSOApplies To seçeneğini işaretleyip Edit tuşuna basın.
Şekil-22
23. Multi-valued Distinguished Name With Security Principal Editor diyalog penceresinde Add Windows Account tuşuna basın.
Şekil-23
24. Bu policy’nin geçerli olmasını istediğiniz kullanıcı ya da grupları bulun ve OK tuşuna basın.
Şekil-24
25. Active Directory Users And Computers konsoluna gelinceye kadar OK tuşuna basın. Artık Ahmet mutlu kullanıcısı ve Ar-Ge grubuna dahil bütün kullanıcılarda hazırlamış olduğumuz password politikası geçerli olacaktır.
Şekil-25
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration