Fine-Grained password policy e check controllo scadenza password

Home » Fine-Grained password policy e check controllo scadenza password

Fine-Grained password policy e check controllo scadenza password

A partire da Windows Server 2008 è possibile superare la limitazione inerente alla gestione unificata e non personalizzabile delle impostazioni sulle password degli account utente AD, dettata dalla Default Domain Policy che gestisce l’unica configurazione inerente quindi alla gestione scadenze, lunghezza minima, complessità, ecc. ecc.

A partire quindi da Windows 2008 è ora possibile definire password policy multiple tramite l’introduzione della feature fine-grained password and lockout policy che si basa su due nuove classi di oggetti

  • Password Settings Container
  • Password Settings Object

La classe Password Settings Object contiene le diverse impostazioni di password che si vogliono utilizzare, gli oggetti di questa classe possono essere creati e modificati. La differenza rispetto alle classiche group policy è che ciascuna PSO (Password Settings Object) può essere applicata solo a utenti e/o gruppi di security. Per poterle implementare è necessario che il Domain Functional Level sia almeno “Windows Server 2008”: questo significa che tutti i domain controller del dominio devono essere almeno Windows 2008 Server. Windows 2012 introduce una facilitazione fornendo una comoda GUI per l’implementazione di questa funzionalità, tramite lo snap-in Active Directory Administrative Center, come da esempio qui sotto:

finegrained_pso

Una volta implementate le fine-grained password policy, non è tutt’oggi possibile interrogare correttamente i filtri applicati da queste policy. Mi spiego meglio… se andiamo a lanciare il comando: net user “nomeutente” /domain il valore restituito relativa al campo di scadenza delle password non tiene conto delle fine-grained password, ma semplicemente va ad effettuare la sommatoria fra “data ultimo cambio password”+”scadenza password dettata da Default Domain Policy”, ignorando quindi i settings all’interno della PSO.

Stesso comportamento andando ad utilizzare la ricerca avanzata sempre dallo snap-in Active Directory Administrative Center, oppure un’interrogazione via powershell del tipo: Get-AdUser “nomeutente” -property *

By |2014-10-24T14:39:22+00:00Ottobre 24th, 2014|Sistemistica Microsoft|Commenti disabilitati su Fine-Grained password policy e check controllo scadenza password