Tìm hiểu Cấu hình thiết lập mật khẩu trong Windows Server 2008

Trong phần hai này chúng tôi sẽ giới thiệu cho bạn các thông tin cơ bản rất hữu dụng về các thiết lập mật khẩu trong Windows Server 2008.
Nội dung trích xuất từ tài liệu:
Tìm hiểu Cấu hình thiết lập mật khẩu trong Windows Server 2008 Cấu hình thiết lập mật khẩu trong Windows Server 2008 - Phần2 Trong phần hai này chúng tôi sẽ giới thiệu cho bạn các thông tin cơ bản rất hữu dụng về các thiết lập mật khẩu trong Windows Server 2008. Chúng tôi sẽ đề cập đến một số thuộc tính mới và các đối tượng người dùng, đối tượng thiết lập mật khẩu (PSO), PSO kết quả,giới thiệu về thiết kế, Shadow Groups (SG)…Tại sao chúng ta muốn thực hiện điều này?Chúng ta đã thấy cách tạo các PSO và gán chúng cho người dùng hoặcnhóm, nhưng tại sao chúng ta lại cần nhiều mật khẩu và tài khoản đểđến vậy? Có một số lý do cho việc này – một có thể là các kịch bản“hosting” có nhiều công ty nằm trong một miền AD riêng, lý do khác làchúng ta cần các thiết lập chặt chẽ để áp dụng cho một nhóm ngườinào đó có tài khoản đặc quyền (giống như quản trị viên miền hoặcnhân viên trợ giúp).Các tài khoản có quyền ưu tiên này cần phải có các yêu cầu phức tạpvà yêu cầu cho việc định nghĩa một mật khẩu có tối thiểu 16 kí tựtrong mật khẩu của họ, các tài khoản được giới hạn nhiều hơn và cóthể có nhiều yêu cầu “thân thiện với người dùng” hơn.Những ai có thể tác động?Chính sách đa mật khẩu mới trong Windows Server 2008 (tên mã là“Longhorn”) cho phép chúng ta thiết lập các chính sách mật khẩu riêngvà tài khoản khóa chính sách trên các đối tượng người dùng - userobjects, đối tượng interOrgPerson và nhóm bảo mật toàn cục -global security groups.Các chính sách mật khẩu không thể được áp dụng cho OU (đối tượngngười dùng) một cách trực tiếp – mà phải áp dụng chính sách này chocác nhóm. Không phải bất kỳ nhóm nào cũng được – nó phải là nhómbảo mật được thiết lập trong phạm vi toàn cục và có thể thiết lập tùychọn trên các nhóm khác; mặc dù vậy nó sẽ không làm việc như mongđợi (nếu các thiết lập bị bỏ qua).Nếu bạn thực sự muốn quản lý các chính sách mật khẩu bên trong cấutrúc OU thì ‘Shadow Groups’ có thể sẽ hữu dụng. (Xem thêm phần“Shadow Groups và cách tạo kịch bản” ở phần dưới)Mặc định, chỉ có các thành viên của “nhóm quản trị miền” mới có thểthiết lập, tạo và xóa các chính sách mật khẩu– được biết đến như cácđối tượng thiết lập mật khẩu (PSO). Mặc dù vậy, các cho phép đó cóthể được ủy nhiệm và điều chỉnh nếu cần thiết, nhưng thiết lập mặcđịnh sẽ là tốt hơn trong hầu hết các môi trường. Cụ thể hơn, chỉ thànhviên của nhóm quản trị miền mới có các cho phép (quyền) “tạo” và“xóa” trong đối tượng thiết lập mật khẩu - Password SettingsContainer (PSC).Để áp dụng PSO cho một người dùng hoặc một đối tượng nhóm bạnphải có các cho phép “ghi” (quyền được ghi) trên đối tượng PSO – cácthành viên của nhóm quản trị miền là những người có quyền này mặcđịnh.Xem xét qua các thuộc tínhChúng ta phải xem xét một số thuộc tính đó là:msDS-PSOAppliesToMỗi PSO có một thuộc tính đa giá trị có tên là msDS-PSOAppliesTo,thuộc tính này được biết đến như một “liên kết chuyển tiếp” để liên kếtđến các đối tượng người dùng hay các đối tượng nhóm, một nhómriêng hay nhiều người dùng, nhiều nhóm hoặc nhiều người dùng và cácnhóm. Các liên kết trên thực tế là các tên phân biệt (ví dụ“CN=GroupA,OU=MyGoups,DC=Contoso,DC=Local”) của các đối tượngđược kết hợp. Bạn có thể tìm hiểu thêm về các tên phân biệt tại địa chỉhttp://www.quantrimang.com/view.asp?Cat_ID=8&Cat_Sub_ID=0&news_id=38979.Câu hỏi đặt ra: Điều gì sẽ xảy ra nếu chúng đặt lại tên hoặc di chuyểnđối tượng người dùng hay đối tượng nhóm (đến OU khác hoặc mụckhác), các PSO sẽ theo sau các đối tượng không? Thuộc tính msDS-PSOAppliesTo sẽ được tự động cập nhật bởi dịch vụ thư mục trongbackground để chỉ ra địa điểm mới (tên phân biệt) của đối tượng đãthay đổi.msDS-PSOAppliedThuộc tính msDS-PSOAppliesTo trên các PSO có thể được soạn thảotrái với thuộc tính “liên kết ngược” msDS-PSOApplied, thuộc tính đượcsử dụng trên các đối tượng người dùng và nhóm. Thuộc tính sau là “chỉxem” và được quản lý bởi dịch vụ thư mục trong background.Thuộc tính msDS-PSOApplied gồm có một “liên kết ngược” để PSO trỏvào đối tượng cha của nó – khi người dùng hay nhóm có nhiều PSOđược áp dụng cho họ thì thuộc tính này cũng có nhiều giá trị.msDS-ResultantPSOThuộc tính msDS-ResultantPSO chỉ có trong đối tượng người dùng. Nógồm có một giá trị đã được tính toán, cũng được nhắc đến như“Resultant Set of Policy” (RSoP). Đây là một liên kết đến PSO riêng –liên kết “may mắn” được kích hoạt trên đối tượng người dùng riêng.Giá trị này được tính toán bởi quá trình dịch vụ thư mục trongbackground từ các nguyên tắc sẽ được đề cập đến trong phần tiếptheo của bài (Phần thiết kế).Câu hỏi đặt ra: Khi nào chính sách mật khẩu có hiệu lực đối với ngườidùng - người đã được bổ sung vào một nhóm? Câu trả lời là, ngay saukhi n ...