Cấu hình thiết lập mật khẩu trong Windows Server 2008 - Phần 2

Trong phần hai này chúng tôi sẽ giới thiệu cho bạn các thông tin cơ bản rất hữu dụng về các thiết lập mật khẩu trong Windows Server 2008. Chúng tôi sẽ đề cập đến một số thuộc tính mới và các đối tượng người dùng, đối tượng thiết lập mật khẩu (PSO), PSO kết quả, giới thiệu về thiết kế, Shadow Groups (SG)…
Nội dung trích xuất từ tài liệu:
Cấu hình thiết lập mật khẩu trong Windows Server 2008 - Phần 2Cấu hình thiết lập mật khẩu trong Windows Server 2008 - Phần 2Nguồn:quantrimang.com Jakob H. HeidelbergTrong phần hai này chúng tôi sẽ giới thiệu cho bạn các thông tin cơ bản rấthữu dụng về các thiết lập mật khẩu trong Windows Server 2008. Chúng tôisẽ đề cập đến một số thuộc tính mới và các đối tượng người dùng, đốitượng thiết lập mật khẩu (PSO), PSO kết quả, giới thiệu về thiết kế, ShadowGroups (SG)…Tại sao chúng ta muốn thực hiện điều này?Chúng ta đã thấy cách tạo các PSO và gán chúng cho người dùng hoặc nhóm,nhưng tại sao chúng ta lại cần nhiều mật khẩu và tài khoản để đến vậy? Có mộtsố lý do cho việc này – một có thể là các kịch bản “hosting” có nhiều công ty nằmtrong một miền AD riêng, lý do khác là chúng ta cần các thiết lập chặt chẽ để ápdụng cho một nhóm người nào đó có tài khoản đặc quyền (giống như quản trịviên miền hoặc nhân viên trợ giúp).Các tài khoản có quyền ưu tiên này cần phải có các yêu cầu phức tạp và yêucầu cho việc định nghĩa một mật khẩu có tối thiểu 16 kí tự trong mật khẩu củahọ, các tài khoản được giới hạn nhiều hơn và có thể có nhiều yêu cầu “thânthiện với người dùng” hơn.Những ai có thể tác động?Chính sách đa mật khẩu mới trong Windows Server 2008 (tên mã là “Longhorn”)cho phép chúng ta thiết lập các chính sách mật khẩu riêng và tài khoản khóachính sách trên các đối tượng người dùng - user objects, đối tượnginterOrgPerson và nhóm bảo mật toàn cục - global security groups.Các chính sách mật khẩu không thể được áp dụng cho OU (đối tượng ngườidùng) một cách trực tiếp – mà phải áp dụng chính sách này cho các nhóm.Không phải bất kỳ nhóm nào cũng được – nó phải là nhóm bảo mật được thiếtlập trong phạm vi toàn cục và có thể thiết lập tùy chọn trên các nhóm khác; mặcdù vậy nó sẽ không làm việc như mong đợi (nếu các thiết lập bị bỏ qua).Nếu bạn thực sự muốn quản lý các chính sách mật khẩu bên trong cấu trúc OUthì ‘Shadow Groups’ có thể sẽ hữu dụng. (Xem thêm phần “Shadow Groups vàcách tạo kịch bản” ở phần dưới)Mặc định, chỉ có các thành viên của “nhóm quản trị miền” mới có thể thiết lập,tạo và xóa các chính sách mật khẩu– được biết đến như các đối tượng thiết lậpmật khẩu (PSO). Mặc dù vậy, các cho phép đó có thể được ủy nhiệm và điềuchỉnh nếu cần thiết, nhưng thiết lập mặc định sẽ là tốt hơn trong hầu hết các môitrường. Cụ thể hơn, chỉ thành viên của nhóm quản trị miền mới có các cho phép(quyền) “tạo” và “xóa” trong đối tượng thiết lập mật khẩu - Password SettingsContainer (PSC).Để áp dụng PSO cho một người dùng hoặc một đối tượng nhóm bạn phải có cáccho phép “ghi” (quyền được ghi) trên đối tượng PSO – các thành viên của nhómquản trị miền là những người có quyền này mặc định.Xem xét qua các thuộc tínhChúng ta phải xem xét một số thuộc tính đó là:msDS-PSOAppliesToMỗi PSO có một thuộc tính đa giá trị có tên là msDS-PSOAppliesTo, thuộc tínhnày được biết đến như một “liên kết chuyển tiếp” để liên kết đến các đối tượngngười dùng hay các đối tượng nhóm, một nhóm riêng hay nhiều người dùng,nhiều nhóm hoặc nhiều người dùng và các nhóm. Các liên kết trên thực tế là cáctên phân biệt (ví dụ “CN=GroupA,OU=MyGoups,DC=Contoso,DC=Local”) củacác đối tượng được kết hợp. Bạn có thể tìm hiểu thêm về các tên phân biệt tạiđịa chỉhttp://www.quantrimang.com/view.asp?Cat_ID=8&Cat_Sub_ID=0&news_id=38979.Câu hỏi đặt ra: Điều gì sẽ xảy ra nếu chúng đặt lại tên hoặc di chuyển đối tượngngười dùng hay đối tượng nhóm (đến OU khác hoặc mục khác), các PSO sẽtheo sau các đối tượng không? Thuộc tính msDS-PSOAppliesTo sẽ được tựđộng cập nhật bởi dịch vụ thư mục trong background để chỉ ra địa điểm mới (tênphân biệt) của đối tượng đã thay đổi.msDS-PSOAppliedThuộc tính msDS-PSOAppliesTo trên các PSO có thể được soạn thảo trái vớithuộc tính “liên kết ngược” msDS-PSOApplied, thuộc tính được sử dụng trên cácđối tượng người dùng và nhóm. Thuộc tính sau là “chỉ xem” và được quản lý bởidịch vụ thư mục trong background.Thuộc tính msDS-PSOApplied gồm có một “liên kết ngược” để PSO trỏ vào đốitượng cha của nó – khi người dùng hay nhóm có nhiều PSO được áp dụng chohọ thì thuộc tính này cũng có nhiều giá trị.msDS-ResultantPSOThuộc tính msDS-ResultantPSO chỉ có trong đối tượng người dùng. Nó gồm cómột giá trị đã được tính toán, cũng được nhắc đến như “Resultant Set of Policy”(RSoP). Đây là một liên kết đến PSO riêng – liên kết “may mắn” được kích hoạttrên đối tượng người dùng riêng. Giá trị này được tính toán bởi quá trình dịch vụthư mục trong background từ các nguyên tắc sẽ được đề cập đến trong phầntiếp theo của bài (Phần thiết kế).Câu hỏi đặt ra: Khi nào chính sách mật khẩu có hiệu lực đối với người dùng -người đã được bổ sung vào một nhóm? Câu trả lời là, ngay sau khi người dùngđược bổ sung vào nhóm thì PSO kết quả cũng được tính toán cho đối tượngngười dùng bằng dịch vụ thư mục. ...