ایجاد چندین Password Policy در یک دامین با PSO

در ویدیو های قبل در رابطه با Password Policy صحبت کردیم و قسمت های مختلف اون رو با هم دیدیم .میدونیم که از windows server 2008 و به بعد  Password Policy به صورت Per Domain است , به این معنا که در یک دامین تنها یک Password policy میتوانیم داشته باشیم و برای اینکه Password Policy  های متفاوت بخواهیم که داشته باشیم باید Domain  های متفاوت داشته باشیم

اما سناریو ای را در نظر بگیریم که در نظر داریم کاربران خود در سازمان را با 3 دسته تقسیم کنیم و برای هر یک Password policy متفاوتی را داشته باشیم, در این صورت میتوانیم از (PSO (password setting object استفاده کنیم .میتوانیم PSO های متفاوت داشته باشیم و در هریک نظرا خود را در رابطه با Password policy مشخص کنیم .برای  ایجاد  PSO میتوانیم به سراغ ابزار adsiedit برویم  که خیلی user friendly نیست , و همچنین dsac.

برای ساخت pso در Run Menu وارد adsiedit.msc می شویم .

برای وصل شدن به پارتیشن مورد نظر بر روی connect to کلیک میکنیم

بر روی Default naming context کلیک میکنیم

حال به مسیر DC=MCSE,DC=com>CN=systemc>CN=password setting container می رویم

در این قسمت راست کلیک میکنیم و برروی new object کلیک میکنیم تا pso جدید بسازیم

در این قسمت بر روی next کلیک میکنیم

حال برای pso خود یک اسم انتخاب میکنیم , برای مثال من pso1 را به عنوان اسم قرار دادم

ما نمیخواهیم که passworreversibleencryption برایمان enable باشد .پس مفدار value را false می گذاریم

حال passwordhistorylength را مشخص میکنیم که من مقدار 5 رو قرار دادم

ما میخواهیم که در این pso برایمان passwordcomplexity فعال باشد .پس مقدار value را True می گذاریم

برای password history length مقدار 5 را قرار می دهم

برای Minimum Password Age باید Duration قرار دهمی که من مقدار 00:00:00:00 را به معنای 0روز و 0 ساعت و 0 دقیقه و 0 ثانیه است , قرار دادم

برای Maximum Password Age باید Duration قرار دهیم که من مقدار 42:00:00:00 را به معنای42روز و 0 ساعت و 0 دقیقه و 0 ثانیه است , قرار دادم.

این بدین معناست که پسوورد بعد از 42 روز expire خواهد شد

برای Lockout Threshold مقدار 3 را قرار میدهیم

برای LockoutObservationWindow باید Duration قرار دهیم که من 00:30:00:00 را به معنای 30 دقیقه را قرار دادم

برای ms-lockoutduration مقدار 00:01:00:00  را به معنای 1  ساعت قرار می دهیم

بر روی finish کلیک میکنیم

حال بر روی pso ای که ساختیم کلیک میکنیم و از ان properties میگیریم تا pso ساخته شده را به گروه و یا user مورد نظر تخصیص دهیم

در Atribiute Editor tab به سراغ MsDs-psoappliedto میرویم و بر روی edit کلیک میکنیم

بر روی Add Window Account کلیک میکنیم و user و یا گروه مورد نظر را add میکنیم

حال برای user ما به نام mohammadi.a این pso اعمال خواهد شد