세밀한 비밀번호 정책 (FGPP)를 사용하면 특정 사용자 또는 그룹에 대해 여러 암호 정책을 만들 수 있습니다. Windows Server 2008 버전의 Active Directory부터 여러 암호 정책을 사용할 수 있습니다. 이전 버전의 AD에서는 도메인당 하나의 암호 정책만 만들 수 있었습니다(기본 도메인 정책 사용).
이 기사에서는 Active Directory 도메인에서 여러 암호 설정 개체를 만들고 구성하는 방법을 보여줍니다.
내용:
- 세밀한 암호 정책 개념
- Active Directory에서 PSO(암호 설정 정책)를 만드는 방법은 무엇입니까?
- PowerShell을 사용하여 세분화된 암호 정책(PSO) 구성
세밀한 비밀번호 정책 개념
세분화된 비밀번호 정책을 통해 관리자는 여러 사용자 정의 비밀번호 설정 개체를 만들 수 있습니다. (PSO ) AD 도메인에서. PSO에서 암호 요구 사항(길이, 복잡성, 기록) 및 계정 잠금 옵션을 설정할 수 있습니다. PSO 정책은 특정 사용자나 그룹에 할당할 수 있지만 OU(Active Directory 컨테이너)에는 할당할 수 없습니다. PSO가 사용자에게 할당되면 기본 도메인 정책 GPO의 암호 정책 설정이 더 이상 사용자에게 적용되지 않습니다.
예를 들어 FGPP 정책을 사용하면 관리자 계정, 서비스 계정 또는 도메인 리소스에 대한 외부 액세스 권한이 있는 사용자(VPN 또는 DirectAccess를 통해)에 대한 암호의 길이와 복잡성에 대한 요구 사항을 늘릴 수 있습니다.
도메인에서 여러 FGPP 암호 정책을 사용하기 위한 기본 요구 사항:
- Windows Server 2008 도메인 이상의 도메인 기능 수준
- 비밀번호 정책은 사용자 또는 전역에 할당할 수 있습니다. (!) 보안 그룹,
- FGPP가 완전히 적용됨(GPO에서 일부 비밀번호 설정을 설정할 수 없으며 일부는 FGPP에서 설정할 수 없음)
Active Directory에서 PSO(암호 설정 정책)를 만드는 방법은 무엇입니까?
Windows Server 2012 이상에서는 Active Directory 관리 센터(ADAC)의 그래픽 인터페이스에서 세분화된 암호 정책을 만들고 편집할 수 있습니다. 콘솔.
이 버전의 AD에는 삭제된 AD 개체와 관리 서비스 계정(gMSA)을 복원할 수 있는 Active Directory 휴지통도 포함되어 있습니다.이 예에서는 도메인 관리자에 대해 별도의 비밀번호 정책을 만들고 할당하는 방법을 보여줍니다. 그룹.
Active Directory 관리 센터(dsac.msc)를 시작합니다. ), 트리 보기로 전환하고 시스템을 확장합니다. 컨테이너. 비밀번호 설정 컨테이너 찾기 , 마우스 오른쪽 버튼으로 클릭하고 새로 만들기를 선택합니다. -> 비밀번호 설정.
비밀번호 정책의 이름을 지정합니다(이 예에서는 도메인 관리자를 위한 비밀번호 정책). ) 설정을 구성합니다(비밀번호의 최소 길이 및 복잡성, 기록에 저장된 비밀번호 수, 잠금 설정, 비밀번호 변경 빈도 등).
각 PSO 매개변수(msDS-PasswordSettings class)는 별도의 AD 속성으로 설명됩니다. - msDS-LockoutDuration
- msDS-LockoutObservationWindow
- msDS-LockoutThreshold
- msDS-MaximumPasswordAge
- msDS-MinimumPasswordAge
- msDS-최소 암호 길이
- msDS-PasswordComplexityEnabled
- msDS-PasswordHistoryLength
- msDS-PasswordReversibleEncryptionEnabled
- msDS-암호 설정 우선 순위
우선순위에 주의 기인하다. 이 속성은 현재 암호 정책의 우선 순위를 결정합니다. 개체에 할당된 여러 FGPP 정책이 있는 경우 우선 순위 필드에서 가장 낮은 값의 정책이 적용됩니다.
참고 .- 사용자에게 동일한 우선 순위 값이 할당된 두 개의 정책이 있는 경우 더 낮은 GUID의 정책이 적용됩니다.
- 사용자에게 여러 정책이 할당되어 있고 그 중 하나는 AD 보안 그룹을 통해 활성화되고 다른 하나는 사용자 계정에 직접 할당된 경우 해당 계정에 할당된 정책이 적용됩니다.
그런 다음 직접 적용 대상에 그룹 또는 사용자를 추가합니다. 섹션에서 정책을 적용합니다(이 경우에는 Domain Admins). 개별 사용자가 아닌 그룹에 PSO 정책을 적용하는 것이 좋습니다. 정책을 저장합니다.
그 후 이 비밀번호 정책은 Domain Admins 그룹의 모든 구성원에게 적용됩니다.
Active Directory 사용자 및 컴퓨터(dsa.msc)를 시작합니다. ) 콘솔(고급 기능 옵션이 활성화된 상태)에서 Domain Admins 그룹의 사용자 속성을 엽니다. 속성 편집기 탭으로 이동하여 구성됨을 선택합니다. 필터 옵션 필드.
msDS-ResultantPSO 찾기 사용자 속성. 이 속성은 사용자에 대해 활성화된 암호 정책을 보여줍니다(CN=Password Policy for Domain Admin,CN=Password Settings Container,CN=System,DC=woshub,DC=com). ).
dsget을 사용하여 사용자에 대한 현재 PSO 정책을 가져올 수도 있습니다. 도구:
dsget user "CN=Max,OU=Admins,DC=woshub,DC=com" –effectivepso
PowerShell을 사용하여 세분화된 암호 정책(PSO) 구성
PowerShell을 사용하여 PSO 암호 정책을 관리할 수 있습니다(컴퓨터에 Active Directory PowerShell 모듈이 설치되어 있어야 함).
New-ADFineGrainedPasswordPolicy cmdlet은 새 PSO를 만드는 데 사용됩니다.
New-ADFineGrainedPasswordPolicy -Name “Admin PSO Policy” -Precedence 10 -ComplexityEnabled $true -Description “Domain password policy for admins”-DisplayName “Admin PSO Policy” -LockoutDuration “0.20:00:00” -LockoutObservationWindow “0.00:30:00” -LockoutThreshold 6 -MaxPasswordAge “12.00:00:00” -MinPasswordAge “1.00:00:00” -MinPasswordLength 8 -PasswordHistoryCount 12 -ReversibleEncryptionEnabled $false
이제 사용자 그룹에 암호 정책을 할당할 수 있습니다.
Add-ADFineGrainedPasswordPolicySubject “Admin PSO Policy” -Subjects “Domain Admins”
PSO 정책 설정을 변경하려면:
Set-ADFineGrainedPasswordPolicy "Admin PSO Policy" -PasswordHistoryCount:"12"
도메인의 모든 FGPP 정책 나열:
Get-ADFineGrainedPasswordPolicy -Filter *
Get-ADUserResultantPasswordPolicy 명령을 사용하여 특정 사용자에게 적용되는 비밀번호 정책 결과를 가져옵니다.
Get-ADUserResultantPasswordPolicy -Identity jsmith
사용자에게 적용되는 PSO의 이름은 이름에 지정됩니다. 필드.
Get-ADGroup cmdlet을 사용하여 Active Directory 그룹에 할당된 PSO 정책 목록을 표시할 수 있습니다.
Get-ADGroup "Domain Admins" -properties * | Select-Object msDS-PSOApplied
기본 도메인 정책 GPO의 기본 비밀번호 정책 설정을 표시하려면 다음 명령을 실행하십시오.
Get-ADDefaultDomainPasswordPolicy
P@ssw0rd와 같은 약한 암호를 계속 사용할 수 있습니다. , Pa$$w0rd 등. 취약한 사용자 비밀번호에 대해 도메인을 주기적으로 감사하는 것이 좋습니다.