Longhorn đã sẵn sàng cung cấp mật khẩu đa miền Trong quá trình cài đặt Windows Active Directory cho một Domain Controller, hai Group Policy Object GPO, tức đối tượng chính sách nhóm đượ
Trang 1Longhorn đã sẵn sàng cung cấp mật khẩu đa
miền
Trong quá trình cài đặt Windows Active Directory cho một Domain Controller, hai Group Policy Object (GPO), tức đối tượng chính sách nhóm được tạo Các GPO này được đặt tên là Default Domain Controllers Policy và Default Domain Policy Đầu tiên, tất nhiên chúng ta sẽ hướng đến các máy kiểm soát miền, liên kết với đơn vị tổ chức Domain Controller (OU) nhưng chỉ với OU trong quá trình cài đặt mới Active Directory Trách nhiệm chính của GPO này là thiết lập đặc quyền người dùng cho Domain Controller, cũng như một số thiết lập bảo mật hỗn hợp khác
Default Domain Policy liên kết tới nút miền trong toàn bộ quá trình cài đặt, với một trách nhiệm mặc định Đó là thiết lập Password Policy cho tất cả tài khoản người dùng trong miền Password Policies chỉ là một trong ba phần khác nhau ở khu vực Account Policies Bên cạnh đó còn có Account Lockout Policies và
Bên trong Default Domain Policy, các thiết lập kiểm soát mật khẩu tài khoản người dùng trong miền và giới hạn khoá được tạo, như trong Hình 1, Hình 2 bên dưới
Nếu các giá trị mặc định không được hoan nghênh, bạn có thể chỉnh sửa chúng
Có hai hướng thực hiện là update Default Domain Policy để đạt được các thiết lập Password Policy mong đợi Hoặc không thay đổi GPO mặc định mà tạo mới một GPO khác Sau đó liên kết nó với miền, cấu hình với các thiết lập Password Policy
Trang 2mong đợi cũng như các thiết lập khác và chuyển lên mức ưu tiên cao hơn Default Domain Policy, như trong Hình 3
Thiết lập chính sách mật khẩu quản lý tài khoản bảo mật cục bộ (SAM)
Nếu bạn nghĩ rằng Password Policy có thể được thiết lập trong một GPO liên kết tới một OU mới do bạn tạo thì bạn đúng Nhưng nếu bạn nghĩ rằng các thiết lập Password Policy trong GPO mới này sẽ tác động tới tài khoản người dùng nằm trong OU đó thì bạn đã sai Đây là khái niệm sai lầm rất phổ biến về cách thức hoạt động của Password Policy trong các miền Active Directory Windows 2000/2003
Các thiết lập được tạo trong những GPO này không ảnh hưởng tới tài khoản người dùng, nhưng ảnh hưởng tới tài khoản máy tính Điều này được thể hiện trong hình minh hoạ 1 ở trên Bạn có thể thấy phần Account Policies rõ ràng nằm dưới nút
Sự nhầm lẫn ngày càng tăng do sự thật là tài khoản máy tính không có mật khẩu, còn tài khoản người dùng thì có Để khắc phục, các GPO thực hiện cấu hình SAM (trình quản lý tài khoản bảo mật) trên máy tính, đưa ra các kiểm soát giới hạn mật khẩu cho tài khoản người dùng cục bộ được lưu trữ ở đó
Cũng cần chú ý rằng các thiết lập Password Policies trong GPO liên kết tới OU mặc định có quyền ưu tiên cao hơn Default Domain Policy Do đó, bất kỳ thiết lập nào được thực hiện trong GPO liên kết tới OU sẽ có tác động mức miền Điều này
có thể thay đổi qua tuỳ chọn Enfored trên GPO liên kết tới miền có các thiết lập Password Policy mong đợi, như minh hoạ trên Hình 4
Trang 3Chính sách mật khẩu miền Longhorn
Trong Longhorn, khái niệm và hoạt động về thiết lập chính sách mật khẩu cho tài khoản người dùng trong miền thường có kết quả đảo ngược Các chính sách mật khẩu đa miền hiện nay có thể áp dụng cho cùng một miền Tất nhiên, đây là thành phần đã được mong đợi từ lâu, rất lâu rồi, từ cái thời của Windows NT 4.0 Câu này cũng đã trở nên quá quen thuộc: “Tôi muốn có mật khẩu tổng hợp hơn cho quản trị viên so với người dùng tiêu chuẩn trong miền”
Bây giờ, bạn có thể tạo chính sách mật khẩu tuỳ chọn cho bất kỳ kiểu người dùng nào trong môi trường của mình Đó có thể là những người trong lĩnh vực HR, tài chính, nhân viên, quản trị IT, nhân viên hỗ trợ…
Các thiết lập bạn sẽ có trong thời kỳ chuyển nhượng cũng giống như bên trong các Group Policy Object hiện nay Chỉ có điều là bạn sẽ không cần dùng Group Policy
để cấu hình chúng Với Longhorn, có một đôi tượng mới tỏng Active Directory cho bạn cấu hình Đó là Password Settings Object, bao gồm toàn bộ các thuộc tính hiện thời có trong Password Policies và Account Lockout Policies
Để triển khai, bạn cần tạo một đối tượng LDAP mới có tên msDS-PasswordSettings bên dưới nơi lưu trữ Password Settings Đường dẫn LDAP có dạng: “cn=Password Settings,cn=System,dc=domainname,dc=com” Bên dưới đối tượng mới này, bạn sẽ cần điền thông tin cho các thuộc tính sau:
msDS-PasswordSettingsPrecedence: Đây là một thuộc tính quan trọng, có thể điều khiển trường hợp một người dùng có tư cách thành viên trong đa nhóm với các chính sách mật khẩu khác nhau được thiết lập
msDS-PasswordReversibleEncryptionEnabled: Bật/tắt chức năng để biết liệu
Trang 4cơ chế mã hoá đảo ngược có được hỗ trợ hay không
msDS-PasswordHistoryLength: Xác định có bao nhiêu mật khẩu phải là duy
msDS-PasswordComplexityEnabled: Thiết lập cơ chế mật khẩu yêu cầu ít nhất 6
ký tự, 3 hay 4 kiểu ký tự và từ chối mật khẩu nào được dùng làm tên đăng nhập
msDS-MinimumPasswordLength: Thiết lập độ dài nhỏ nhất cho mật khẩu
msDS-MinimumPasswordAge: Xác định người dùng phải dùng mật khẩu trong
msDS-MaximumPasswordAge: Xác định người dùng có thể dùng mật khẩu
trong bao lâu trước khi chúng được yêu cầu thay đổi
msDS-LockoutObservationWindow: Xác định khoảng thời gian bộ đếm mật
msDS-LockoutDuration: Xác định thời gian bao lâu tài khoản sẽ bị khoá sau quá
Sau khi các thuộc tính được cấu hình, đối tượng mới sẽ được liên kết với nhóm
mở rộng Active Directory Chương trình liên kết hoàn chỉnh ở bước thêm tên LDAP của nhóm vào thuộc tính msDS-PSOAppliesTo
Longhorn sẽ được trình diện với một số thành phần mới, công nghệ mới và
Trang 5phương thức mới cho hoạt động điều khiển và quản lý đối tượng trong doanh nghiệp của bạn Cho đến bây giờ, một trong các thành phàn ấn tượng nhất và nhanh chóng sẽ trở nên phổ biến là khả năng thiết lập chính sách đa mật khẩu trong một miền đơn Có thể trong đầu bạn đã bắt đầu hình suy nghĩ về tác động của chức năng mới lên môi trường hệ hiện tại của mình và bắt đầu vạch kế hoạch
về cái bạn muốn thực hiện trong một thời gian dài