Longhorn đã sẵn sàng cung cấp mật khẩu đa miền

Trong quá trình cài đặt Windows Active Directory cho một Domain Controller, hai Group Policy Object (GPO), tức đối tượng chính sách nhóm được tạo. Các GPO này được đặt tên là Default Domain Controllers Policy và Default Domain Policy. Đầu tiên, tất nhiên chúng ta sẽ hướng đến các máy kiểm soát miền, liên kết với đơn vị tổ chức Domain Controller (OU) nhưng chỉ với OU trong quá trình cài đặt mới Active Directory. Trách nhiệm chính của GPO này là thiết lập đặc quyền người dùng cho Domain Controller, cũng như một số thiết lập bảo mật...
Nội dung trích xuất từ tài liệu:
Longhorn đã sẵn sàng cung cấp mật khẩu đa miềnLonghorn đã sẵn sàng cung cấp mật khẩu đa miềnTrong quá trình cài đặt Windows Active Directory cho một Domain Controller,hai Group Policy Object (GPO), tức đối tượng chính sách nhóm được tạo. CácGPO này được đặt tên là Default Domain Controllers Policy và Default DomainPolicy. Đầu tiên, tất nhiên chúng ta sẽ hướng đến các máy kiểm soát miền, liên kếtvới đơn vị tổ chức Domain Controller (OU) nhưng chỉ với OU trong quá trình càiđặt mới Active Directory. Trách nhiệm chính của GPO này là thiết lập đặc quyềnngười dùng cho Domain Controller, cũng như một số thiết lập bảo mật hỗn hợpkhác.Default Domain Policy liên kết tới nút miền trong toàn bộ quá trình cài đặt, vớimột trách nhiệm mặc định. Đó là thiết lập Password Policy cho tất cả tài khoảnngười dùng trong miền. Password Policies chỉ là một trong ba phần khác nhau ởkhu vực Account Policies. Bên cạnh đó còn có Account Lockout Policies vàKerberos Policies.Bên trong Default Domain Policy, các thiết lập kiểm soát mật khẩu tài khoảnngười dùng trong miền và giới hạn khoá được tạo, như trong Hình 1, Hình 2 bêndưới.Nếu các giá trị mặc định không được hoan nghênh, bạn có thể chỉnh sửa chúng.Có hai hướng thực hiện là update Default Domain Policy để đạt được các thiết lậpPassword Policy mong đợi. Hoặc không thay đổi GPO mặc định mà tạo mới mộtGPO khác. Sau đó liên kết nó với miền, cấu hình với các thiết lập Password Policymong đợi cũng như các thiết lập khác và chuyển lên mức ưu tiên cao hơn DefaultDomain Policy, như trong Hình 3.Thiết lập chính sách mật khẩu quản lý tài khoản bảo mật cục bộ (SAM)Nếu bạn nghĩ rằng Password Policy có thể được thiết lập trong một GPO liên kếttới một OU mới do bạn tạo thì bạn đúng. Nhưng nếu bạn nghĩ rằng các thiết lậpPassword Policy trong GPO mới này sẽ tác động tới tài khoản người dùng nằmtrong OU đó thì bạn đã sai. Đây là khái niệm sai lầm rất phổ biến về cách thứchoạt động của Password Policy trong các miền Active Directory Windows2000/2003.Các thiết lập được tạo trong những GPO này không ảnh hưởng tới tài khoản ngườidùng, nhưng ảnh hưởng tới tài khoản máy tính. Điều này được thể hiện trong hìnhminh hoạ 1 ở trên. Bạn có thể thấy phần Account Policies rõ ràng nằm dưới nútComputer Configuration trong GPO.Sự nhầm lẫn ngày càng tăng do sự thật là tài khoản máy tính không có mật khẩu,còn tài khoản người dùng thì có. Để khắc phục, các GPO thực hiện cấu hình SAM(trình quản lý tài khoản bảo mật) trên máy tính, đưa ra các kiểm soát giới hạn mậtkhẩu cho tài khoản người dùng cục bộ được lưu trữ ở đó.Cũng cần chú ý rằng các thiết lập Password Policies trong GPO liên kết tới OUmặc định có quyền ưu tiên cao hơn Default Domain Policy. Do đó, bất kỳ thiết lậpnào được thực hiện trong GPO liên kết tới OU sẽ có tác động mức miền. Điều nàycó thể thay đổi qua tuỳ chọn Enfored trên GPO liên kết tới miền có các thiết lậpPassword Policy mong đợi, như minh hoạ trên Hình 4.Chính sách mật khẩu miền LonghornTrong Longhorn, khái niệm và hoạt động về thiết lập chính sách mật khẩu cho tàikhoản người dùng trong miền thường có kết quả đảo ngược. Các chính sách mậtkhẩu đa miền hiện nay có thể áp dụng cho cùng một miền. Tất nhiên, đây là thànhphần đã được mong đợi từ lâu, rất lâu rồi, từ cái thời của Windows NT 4.0. Câunày cũng đã trở nên quá quen thuộc: “Tôi muốn có mật khẩu tổng hợp hơn choquản trị viên so với người dùng tiêu chuẩn trong miền”.Bây giờ, bạn có thể tạo chính sách mật khẩu tuỳ chọn cho bất kỳ kiểu người dùngnào trong môi trường của mình. Đó có thể là những người trong lĩnh vực HR, tàichính, nhân viên, quản trị IT, nhân viên hỗ trợ…Các thiết lập bạn sẽ có trong thời kỳ chuyển nhượng cũng giống như bên trong cácGroup Policy Object hiện nay. Chỉ có điều là bạn sẽ không cần dùng Group Policyđể cấu hình chúng. Với Longhorn, có một đôi tượng mới tỏng Active Directorycho bạn cấu hình. Đó là Password Settings Object, bao gồm toàn bộ các thuộc tínhhiện thời có trong Password Policies và Account Lockout Policies.Để triển khai, bạn cần tạo một đối tượng LDAP mới có tên msDS-PasswordSettings bên dưới nơi lưu trữ Password Settings. Đường dẫn LDAP códạng: “cn=Password Settings,cn=System,dc=domainname,dc=com”. Bên dưới đốitượng mới này, bạn sẽ cần điền thông tin cho các thuộc tính sau:msDS-PasswordSettingsPrecedence: Đây là một thuộc tính quan trọng, có thể điềukhiển trường hợp một người dùng có tư cách thành viên trong đa nhóm với cácchính sách mật khẩu khác nhau được thiết lập.msDS-PasswordReversibleEncryptionEnabled: Bật/tắt chức năng để biế ...