Ate o Windows 2003 tinhamos uma limitação na criação de politicas de senha que as vezes era crucial para definir a criação (ou não) de vários dominios dentro de uma mesma floresta.
A partir do Windows 2008 a Microsoft tornou possivel a criação de diferentes politicas de senha, porem para meu espanto nao através de GPO’s e sim através de Power Shell ou pelo ADSIEdit. Uma observação importante é que a floresta precisa estar no nivel funcional Windows Server 2008 ou superior.
Vamos analisar alguns procedimentos do Power Shell para criação, alteração, atribuição, etc de politicas de senha.
Todos o processo será feito através de uma console do Power Shell.
Mãos a massa.
Vamos a explicação dos principais campos que podem ser utilizados na criação de politicas de Senha
· Name: Nome da politica, para nome com espaços utilize aspas;
· ComplexityEnabled: Define se a complexidade de senha esta ativa ou não. Valores $true ou $false;
· Description: Descrição para a politica, não esquecer de colocar entre aspas;
· DisplayName: Nome para exibição, para nome com espaços utilize aspas;
· Precedence: Define a prioridade de uma politica de senha. Útil caso o usuário faça parte de diferentes grupos com diferentes politicas;
· MaxPasswordAge: Duração maxima da senha. "DD.HH:MM:SS"
· MinPasswordAge: Duração minima da senha. "DD.HH:MM:SS"
· MinPasswordLength: Tamanho mínimo da senha (em dias);
· PasswordHistoryCount: Historico de senhas, número de senhas que não podem ser repetidas;
· ReversibleEncryptionEnabled: Define se o AD irá armazenar senhas usando criptografia reversivel. Valores $true ou $false;
· LockoutThreshold: Número de erros que um usuário pode cometer antes de ter sua conta bloqueada.
· LockoutDuration: Tempo em que uma conta ficará bloqueada. "DD.HH:MM:SS"
· LockoutObservationWindow: Define o intervalo máximo que pode existir entre dois erros de senha. Caso este tempo esteja definido como 30m e o usuário informe uma senha invalida por 6 vezes e o campo LockoutThreshold esteja definido como 5, sua conta sera bloqueada;
Criação de uma politica de senha
New-ADFineGrainedPasswordPolicy -Name "IT Admins Policy" -Precedence 1 -ComplexityEnabled $true -Description "Politica de senha para os administradores" -DisplayName "IT Admins Policy" -LockoutDuration "0.12:00:00"
-LockoutObservationWindow "0.00:20:00" -LockoutThreshold 3 -MaxPasswordAge "21.00:00:00" -MinPasswordAge "1.00:00:00" -MinPasswordLength 10 -PasswordHistoryCount 20 -ReversibleEncryptionEnabled $false
Alteração de uma politica de senha
Set-ADFineGrainedPasswordPolicy "IT Admins Policy" -MinPasswordLength 8 -PasswordHistoryCount 15
Atribuir politica de senha a grupos/usuários
Add-ADFineGrainedPasswordPolicySubject "IT Admins Policy"-Subjects "Domain Admins"
Remover atribuição de politica de senha a grupos/usuarios
Remove-ADFineGrainedPasswordPolicySubject "IT Admins Policy"-Subjects "Domain Admins"
Excluir uma politica de senha
Remove-ADFineGrainedPasswordPolicy -Identity "IT Admins Policy"
Verificar politicas de senha atribuidas a um determinado usuário
Get-ADUserResultantPasswordPolicy administrator
Verificar quais grupos/usuários são afetados por uma determinada politica
Get-ADFineGrainedPasswordPolicy "IT Admins Policy" | ft AppliesTo -A
Listar todas as politicas de senha criadas no dominio
Get-ADDefaultDomainPasswordPolicy jsathler.spaces.live.com
Utilizando uma ferramenta de terceiros (free)
Esta ferramenta permite a criação e manipulação das politicas através de uma interface gráfica.
A versão paga desta ferramenta permite personalizar a complexidade das senhas alem das funcionalidas citadas anteriormente.
É isso ai pessoal e ate a próxima.
Juliano Sathler com mais de 8 anos de experiência na área de TI. Trabalha atualmente com suporte/projetos de Exchange Server e Active Directory em uma multinacional no interior de SP. Possui atualmente as certificações MCSA/MCSE +M +S em Windows 2000 e 2003, MCTS/MCITP em Exchange 2007 e MCT.
**Este artigo foi escrito por um membro da comunidade técnica, a Microsoft não oferece quaisquer garantias sobre o conteúdo aqui descrito.