Ниже приведена небольшая инструкция об изменении политики паролей в Microsoft Windows Server 2012 R2. По умолчанию политика паролей определена таким образом, что все пароли учетных записей пользователей должны удовлетворять следующим требованиям:
- Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков.
- Иметь длину не менее 6 знаков.
- Содержать знаки трех из четырех перечисленных ниже категорий:
- Латинские заглавные буквы (от A до Z)
- Латинские строчные буквы (от a до z)
- Цифры (от 0 до 9)
- Отличающиеся от букв и цифр знаки (например, !, $, #, %)
Все параметры политики паролей задаются в локальных групповых политиках. Для запуска Редактора Локальных Групповых Политик (Local Group Policy Editor) необходим выполнить команду gpedit.msc (для этого необходимо нажать комбинацию клавиш Win + R, в окне «Выполнить» (Run) в поле «Открыть:» (Open:) ввести имя команды и нажать «ОК» )
В запустившейся оснастке в дереве групповых политик последовательно раскрываем группы:
- «Конфигурация компьютера» (Computer Configuration)
- «Конфигурация Windows» (Windows Settings)
- «Параметры безопасности» (Security Settings)
- «Политики учетных записей» (Account Policies)
- «Политика паролей» (Password Policy)
- «Политики учетных записей» (Account Policies)
- «Параметры безопасности» (Security Settings)
- «Конфигурация Windows» (Windows Settings)
Здесь мы можем изменить необходимую нам политику. В частности, политику сложности паролей. Для этого два раза кликаем по строке «Пароль должен отвечать требованиям сложности» (Password must meet complexity requirements) и в окне свойства политики устанавливаем переключатель в «Отключен» (Disabled)
Для всех политик доступно довольно подробное описание, для доступа к которому необходимо перейти на вкладку «Объяснение» (Explain).
Изменив необходимые параметры, сохраняем настройки и закрываем окна, нажав «ОК» .
В этой же ветке можно изменить Политику блокировки учетных записей (Account Lockout Policy) в случае неверного ввода паролей. Все политики редактируются аналогичным образом.
Необходимо понимать, что изменение политики паролей может сильно снизить безопасность сервера. Лучше использователь специальные программы для генерации с хранения паролей.
извените, но я начинающий и большинство информации в технических статьях не понимаю, можно ли как-то по-проще, с картинками и в ветке вопроса ?
например сервер терминало в в 2012 и в 2008 я могу поднять с закрытыми глазами, а вот что такое Active Directory я вобще не понимаю зачем это нужно и что это такое, если объясните на пальцах,
то думаю облегчите жизнь многим начинающим таким как я.
На каком языке я понимаю. Если сеть держиться на рабочей группе, то соответственно чтобы она работала, то на всех машинах сети должны быть прописаны IP-адреса одной подгруппы (192.168.0.1-255) и рабочая группа должна быть одинаковая.
А если Active Directory, то это настройка Домена, ДНС и темный лес…
Единственное что я понимаю что Active Directory это круто и удобно.
Хочу научиться. Т.к. у меня сейчас 3 сервера. которые стоят на расстоянии 5 км друг от друга. Один из них имеет доступ в интернет. к каждому подключены компьютеры к первому 3, второму 4, третьему 6. В скором
будущем интернет будет везде и я бы хотел объединить их в одну сеть. Основной софт
Парус-Предприятие (Парус-ресторан и Парус-Бухгалтерия), скоро буду подключать еще
Парус-Отель, Парус-Магазин, Парус-Менеджмент и Маркетинг, Парус-Турагенство и Парус-Зарплата. Это же дополнительные рабочие места. И если мне не удасться настроить всё на одном сервере, то связать все три сервера в одну
систему и удаленно ими управлять просто обязан, т.к. Сервера стоят на берегу моря, и два из трех работать будут только летом. Планирую покупать офис в городе и работать оттуда, поэтому любой доступной помощи очень рад. Т.к
и сам охотно делюсь информацией которую узнаю. Приходиться все поднимать самому, т.к это мой хлеб. И так как только все начинаю настраивать, то я и бухгалтер и системный администратор и бизнес-консультант в активно
развивающейся структуре. Бухгалтерию и принцип работы общепита знаю на ура. Софт «Парус», тоже знаю как ведущий специалист. А вот администрирование хромает.
мой скайп: parfentevva — всегда рад пообщаться онлайн.
-
Изменено
Vladimir Parfentev
22 марта 2013 г. 1:31
Разрешить простые пароли в домене Windows Server 2012 R2
Не всегда удобно использовать сложные мудрёные пароли учётных записей с использованием цифр и различных символов. Зачастую, в маленьких организациях стараются этот момент упростить и в качестве пароля использовать что-то более обычное, не смотря на то, что с точки зрения информационной безопасности, это не правильно.
Чтобы для клиентов доменной сети сделать простые пароли, нужно выполнить следующее:
Пуск — Администрирование
Выбрать оснастку «Управление групповой политикой»
Раскрыть ветви своего домена и найти там Default Domain Policy
Открыть закладку «параметры»
Раскрыть «политики» — «конфигурация windows» — «параметры безопасности»
Кликнуть правой кнопкой мыши по параметру «политика учетных записей/политика паролей» и нажать «изменить»
В открывшемся окне перейти по пути: «Конфигурация компьютера» — «Политики» — «Конфигурация Windows» — «Параметры безопасности» — «Политики учетных записей».
И в правой половине окна выбрать «Политика паролей».
Тут нужно отключить параметр «Пароль должен отвечать требованиям сложности».
Также можно изменить минимальную длину пароля, срок его действия и др..
Совсем недавно мы писали о сроке действия пароля для пользователей Windows Server 2012. Сегодня предлагаем, не отходя далеко от темы, обсудить системные требования к сложности пароля, а также целесообразность и способ их отключения.
По умолчанию пароль должен быть не короче шести символов, не содержать в себе имени учетной записи, а еще в него должны входить знаки минимум трех из четырех групп:
- латинские заглавные буквы (A-Z);
- латинские строчные буквы (a-z);
- цифры (0-9);
- неалфавитные символы (!, ?, %, $, # и т. д.)
Но, если у вас есть права администратора, вы можете отключить требования сложности пароля для всех пользователей вашего сервера.
1. Выполните команду gpedit.msc: Win + R > пропишите gpedit.msc> ОК.
2. Перейдите: Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Политики учетных записей > Политика паролей > Пароль должен отвечать требованиям сложности.
3. Выберите Отключен и нажмите ОК.
Вот и все, требования сложности отключены.
Полезно!
Также в Политике паролей можно изменить минимальный и максимальный сроки действия, длину и другие параметры пароля.
Отключить требования сложности пароля для Windows Server 2012 нетрудно, но мы все же рекомендуем подходить к этому вопросу взвешенно и учитывать элементарные советы по безопасности. В противном случае, будьте готовы однажды найти свой пароль в рейтинге самых ненадежных. Ведь часто именно слабый пароль – главная лазейка для злоумышленников. Необязательно генерировать новую комбинацию каждую неделю или раз в месяц, можно и реже. Просто не используйте для этих целей свою фамилию, имя дочери или название фирмы. И не забудьте позаботиться о безопасном сервере, грамотном администрировании и своевременном бэкапе – обращайтесь к нам за консультацией 24/7.
- Remove From My Forums
-
Question
-
Trying to create a Windows 2012 cluster (Not R2). The cluster creation wizard goes through without problems. However, after a few minutes the cluster service dies with EventID 1556 and error code 2245 «The
password does not meet the password policy requirements. Check the minimum password length, password complexity and password history requirements.» The error repeats every few minutes.
Looking at the cluster log, we find:ERR Workitem(Sweeper::Sweep) callback threw exception: (2245)’ because of ‘[CLI] Account Creation failure: 2245, 4294967295’
ERR [CORE] Shutting down cluster service because of unhandled exception in a worker threadIt appears it is trying to create the local CLIUSR account, but the self-generated password does not meet complexity… The local password policy is the default deployed with Windows 2012 —
No unusual password requirement (8 characters with built-in complexity requirement)I saw Elden’s description of CLIUSR in
https://social.technet.microsoft.com/Forums/en-US/95929983-a50c-42b3-a520-6a171e542948/win-server-2012-two-node-cluster-local-cliuser-issue?forum=winserverClustering — so I believe I understand what it is doing, but how can it not generate a password complex
enough? And I do not see any report of anyone having this issue, so I suspect a local configuration / issue.
Answers
-
I was told that further investigation revealed that the customer (US Government) had some policies applied. I am not sure how relevant it is, since the RSOP did not show a password policy — I am thinking maybe password filter. However, I am waiting
for them to come back with more details.It could be that the creation of the CLIUSR account does not take into account (How can it?) if a very unusual password requirement is enforced.
Last time we talked it was still failing.
Meanwhile I would appreciate any suggestions.
-
Proposed as answer by
Monday, April 27, 2015 2:37 AM
-
Marked as answer by
Alex Lv
Monday, April 27, 2015 2:37 AM
-
Proposed as answer by
- Remove From My Forums
-
Question
-
Trying to create a Windows 2012 cluster (Not R2). The cluster creation wizard goes through without problems. However, after a few minutes the cluster service dies with EventID 1556 and error code 2245 «The
password does not meet the password policy requirements. Check the minimum password length, password complexity and password history requirements.» The error repeats every few minutes.
Looking at the cluster log, we find:ERR Workitem(Sweeper::Sweep) callback threw exception: (2245)’ because of ‘[CLI] Account Creation failure: 2245, 4294967295’
ERR [CORE] Shutting down cluster service because of unhandled exception in a worker threadIt appears it is trying to create the local CLIUSR account, but the self-generated password does not meet complexity… The local password policy is the default deployed with Windows 2012 —
No unusual password requirement (8 characters with built-in complexity requirement)I saw Elden’s description of CLIUSR in
https://social.technet.microsoft.com/Forums/en-US/95929983-a50c-42b3-a520-6a171e542948/win-server-2012-two-node-cluster-local-cliuser-issue?forum=winserverClustering — so I believe I understand what it is doing, but how can it not generate a password complex
enough? And I do not see any report of anyone having this issue, so I suspect a local configuration / issue.
Answers
-
I was told that further investigation revealed that the customer (US Government) had some policies applied. I am not sure how relevant it is, since the RSOP did not show a password policy — I am thinking maybe password filter. However, I am waiting
for them to come back with more details.It could be that the creation of the CLIUSR account does not take into account (How can it?) if a very unusual password requirement is enforced.
Last time we talked it was still failing.
Meanwhile I would appreciate any suggestions.
-
Proposed as answer by
Monday, April 27, 2015 2:37 AM
-
Marked as answer by
Alex Lv
Monday, April 27, 2015 2:37 AM
-
Proposed as answer by
Изменение политики паролей в Windows Server 2012 R2
- Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков.
- Иметь длину не менее 6 знаков.
- Содержать знаки трех из четырех перечисленных ниже категорий:
- Латинские заглавные буквы (от A до Z)
- Латинские строчные буквы (от a до z)
- Цифры (от 0 до 9)
- Отличающиеся от букв и цифр знаки (например, !, $, #, %)
Все параметры политики паролей задаются в локальных групповых политиках. Для запуска Редактора Локальных Групповых Политик (Local Group Policy Editor) необходим выполнить команду gpedit.msc (для этого необходимо нажать комбинацию клавиш Win + R, в окне «Выполнить» (Run) в поле «Открыть:» (Open:) ввести имя команды и нажать «ОК» )
В запустившейся оснастке в дереве групповых политик последовательно раскрываем группы:
- «Конфигурация компьютера» (Computer Configuration)
- «Конфигурация Windows» (Windows Settings)
- «Параметры безопасности» (Security Settings)
- «Политики учетных записей» (Account Policies)
- «Политика паролей» (Password Policy)
- «Политики учетных записей» (Account Policies)
- «Параметры безопасности» (Security Settings)
- «Конфигурация Windows» (Windows Settings)
Здесь мы можем изменить необходимую нам политику. В частности, политику сложности паролей. Для этого два раза кликаем по строке «Пароль должен отвечать требованиям сложности» (Password must meet complexity requirements) и в окне свойства политики устанавливаем переключатель в «Отключен» (Disabled)
Для всех политик доступно довольно подробное описание, для доступа к которому необходимо перейти на вкладку «Объяснение» (Explain).
Изменив необходимые параметры, сохраняем настройки и закрываем окна, нажав «ОК» .
В этой же ветке можно изменить Политику блокировки учетных записей (Account Lockout Policy) в случае неверного ввода паролей. Все политики редактируются аналогичным образом.
Необходимо понимать, что изменение политики паролей может сильно снизить безопасность сервера.
Источник
Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2012R2
Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2012R2
Добрый день! Уважаемые системные администраторы и просто гости крупного IT блога pyatilistnik.org. Я очень рад, что вы занялись безопасностью своей инфраструктуры, и PSO, это первый из шагов, который поможет вам в этом. Что такое PSO (гранулированные пароли) мы узнали тут, про то как это настроить в 2008R2 описано тут. Теперь давайте разберемся где в windows 2012R2 находятся настройки PSO. Вы конечно как и на примере 2008R2 можете повторить данный трюк, но к чему стока мороки. Идем в панель управления.
Щелкаем правым кликом по пуску или сочетание клавиш CTRL+X и выбираем, нужный пункт.
Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2012R2-01
Дальше Администрирование-Центр Администрирования.
Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2012R2-02
Либо можете ввести в окне «Выполнить» сокращенную аббревиатуру dsac.exe.
Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2012R2-03
У вас откроется «Центр администрирования Active Directory», как видите оснастка очень похожа, на начальную «Диспетчер серверов»
Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2012R2-04
В левом углу видим наш домен, щелкаем по нему и идем System-Password Setting Container
Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2012R2-05
Справа нажимаем создать-Параметры паролей.
Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2012R2-06
Ну а дальше все просто выбираем, что нужно, и снизу жмем кнопку Добавить, в которой можно выбрать пользователя или группу.
Как настроить гранулированные политики паролей или PSO (password setting object) в windows server 2012R2-07
Как видите Microsoft с каждым разом все упрощает и в случае с корзиной Active Directory и в плане PSO политик, думаю это правильное решение.
Источник
Не могу изменить политику паролей windows server 2012
Ввод пароля при входе на компьютер, является неотъемлемой составляющей безопасности в домене. Контроль за политикой паролей пользователей (сложность пароля, минимальная длина и т.д.) является одной из важных задач для администраторов. В этой статье я подробно опишу изменение политики паролей с помощью GPO для всех пользователей домена, а так же опишу способ как сделать исключения политик паролей для некоторых пользователей или группы пользователей.
Политика паролей домена конфигурируется объектом GPO- Default Domain Policy, которая применяется для всех компьютеров домена. Для того что бы посмотреть или внести изменения в политику паролей, необходимо запустить оснастку «Управление групповой политикой», найти Default Domain Policy, нажать на ней правой кнопкой мыши и выбрать «Изменить«.
Зайти «Конфигурация компьютера«- «Политики«- «Конфигурация Windows«- «Параметры безопасности«- «Политики учетных записей«- «Политика паролей«, в правом окне вы увидите параметры пароля, которые применяются в вашем домене.
Параметр определяет должен ли пароль отвечать сложности:
-не содержать имени учетной записи
— длина не менее 6 знаков
— содержать заглавные буквы (F, G,R)
— содержать строчные буквы (f,y,x)
— содержать спец знаки (#,@,$)
Политика | Краткое пояснение | Возможные значения |
Вести журнал паролей/ Enforce password history | Определяет число новых уникальных паролей | 0-24 |
Максимальный срок действия пароля/ Maximum password age | Определяет период времени (в днях), в течении которого можно использовать пароль, пока система не потребует сменить его. | 1-999 |
Минимальная длина пароля / Minimum password lenght | Параметр определяет минимальное количество знаков, которое должно содержаться в пароле | |
Минимальный срок действия пароля/ Minimum password age | Параметр определяет период времени (в днях)?в течении которого пользователь должен использовать пароль, прежде чем его можно будет изменить. | 0-998 |
Пароль должен отвечать требованиям сложности / Password must meet complexity requirements | Включена/ Отключена | |
Хранить пароли, используя обратимое шифрование / Store passwords using reversible encryption | Параметр указывает использовать ли операционной системой для хранения паролей обратимое шифрование. | Включена/ Отключена |
Для того что бы изменить параметр достаточно нажать на нем и указать значение. Напомню указанные параметры будут применяться на все компьютеры домена.
Трудности возникают, если у вас в домене должны быть исключение, т.е. пользователь или группа пользователей для которых необходимы иные условия политики пароля. Для этих целей необходимо использовать гранулированную политику пароля. Эти политики представляют отдельный класс объектов AD, который поддерживает параметры гранулированной политики паролей: объект параметров политики PSO (Password Settings Object). Гранулированные политики пароля не реализованы как часть групповой политики и не применяются объектами GPO их можно применить отдельно к пользователю или глобальной группе.
Для того, что бы настроить PSO необходимо запустить adsiedit.msc, для этого нажимаете кнопку «Пуск», в окне «Выполнить», введите «adsiedit.msc» и нажмите кнопку «Enter».
В оснастке «Редактор ADSI» щелкните правой кнопкой мыши Редактор ADSI и выберите команду Подключение к...
Нажмите на кнопку «OK«, чтобы выбрать настройки по умолчанию в диалоговом окне «Параметры подключения» или в поле Имя введите полное доменное имя для того домена, в котором требуется создать объект параметров паролей, а затем нажмите кнопку «ОК».
Далее зайдите по пути «DC= «- «CN=System»- «CN=Password Setings Container».
Щелкните правой кнопкой пункт «CN=Password Setings Container«, выберите команду «Создать», а затем пункт «Объект».
В диалоговом окне Создание объекта в разделе Выберите класс щелкните атрибут msDS-PasswordSettings (выбора как такого у вас не будет, поскольку атрибут будет один), затем нажмите кнопку «Далее».
После этого мастер поможет создать объект настроек для пароля Password Settings Object. Необходимо будет указать значение для каждого из следующих 10 атрибутов. Ниже представлена таблица с кратким описанием и возможными значениями атрибутов.
Имя атрибута | Краткое описание | Возможные значения |
Cn | Любое допустимое имя Windows | |
msDS-PasswordSettingsPrecedence | Параметр, используемый в качестве стоимости или приоритета для различных политик на тот случай, если для одного пользователя настраивается несколько политик PSO. Чем выше приоритет у настройки пароля PSO, тем меньше значение этого параметра. | Больше 0 |
msDS-PasswordReversibleEncryptionEnabled | Статус обратимого шифрования пароля для учетных записей пользователей | FALSE / TRUE (рекомендуемое значение – FALSE) |
msDS-PasswordHistoryLength | Длина журнала пароля для учетных записей пользователей | От 0 до 1024 |
msDS-PasswordComplexityEnabled | Состояние сложности паролей учетных записей пользователей | FALSE / TRUE (рекомендуемое значение – TRUE) |
msDS-MinimumPasswordLength | Минимальная длина паролей учетных записей пользователей | От 0 до 255 |
msDS-MinimumPasswordAge | Минимальный срок действия паролей учетных записей пользователей | От 00:00:00:00 до значения атрибута msDS-MaximumPasswordAge (Например 1:00:00:00 -1 день) |
msDS-MaximumPasswordAge | Максимальный срок действия паролей учетных записей пользователей |
(Например 90:00:00:00 — 90 дней) |
msDS-LockoutThreshold | Количество попыток ввода неверного пароля после которого учетная запись будет заблокирована | От 0 до 65535 |
msDS-LockoutObservationWindow | Через это время счетчик количества попыток ввода неверного пароля будет обнулен |
(Например 0:00:30:00 -30 минут) После того как создана PSO, необходимо добавить в него пользователя или группу пользователей, к которым будет применяться указанные настройки пароля. Для этого нажимаем правой кнопкой мыши на PSO и выбираем «Свойства«. В редакторе атрибутов находим и выбираем атрибут msDS-PSOAppliesTo и нажимаем кнопку «Изменить«. В открывшемся окне «Редактор многозначных различаемых имен субъектов безопасности» добавляем пользователей или глобальную группу безопасности, к которым должен применяться объект параметров паролей и нажимаем «Ок«. Теперь можно проверить действительно ли примерилась политика паролей PSO, для этого запустите Active Directory Пользователи и компьютеры, если у вас не включены дополнительные компоненты — включите их (нажмите «Вид» и поставьте галочку напротив Дополнительные компоненты), откройте свойства интересующего вас пользователя или группы, выберите вкладку «Редактор атрибутов«, нажмите кнопку «Фильтр» в области Показать атрибуты, доступные только для чтения поставьте галочку Построенные. После этого найдите атрибут msDS-ResultantPSO в нем должен быть указан созданная вами или результирующая политика паролей Password Settings Object. Если все указано верно настройку политик паролей PSO можно считать успешно завершенной. Источник Не могу изменить учетную запись пользователя windows 10 Не могу запустить службу планировщика заданий в windows 7 Популярные записи Две системы windows xp на одном компьютере 19 октября, 2020 Windows 10 фотографии приложение не запустилось 19 октября, 2020 Прекратил работу проводник windows 7 22 октября, 2020 Как узнать серию своей видеокарты на windows 7 20 октября, 2020 Apache server windows server 2008 r2 22 октября, 2020 Программа для восстановления пароля администратора windows 7 16 октября, 2020 Adblock |
Содержание
- Изменение политики паролей в Windows Server 2012 R2
- Смотрите также:
- Изменение политики паролей в Windows Server 2008 R2
- Смотрите также:
- Настройка политики паролей пользователей в Active Directory
- Политика паролей в Default Domain Policy
- Основные настройки политики паролей
- Просмотр текущей парольной политики в домене
- Несколько парольных политик в домене Active Directory
- Изменение политики паролей в Windows Server 2012 R2
- Как отключить требования сложности пароля на сервере 2016 года.
- Как удалить требования к сложности паролей в Active Directory Server 2016 или автономном сервере 2016.
Изменение политики паролей в Windows Server 2012 R2
Ниже приведена небольшая инструкция об изменении политики паролей в Microsoft Windows Server 2012 R2. По умолчанию политика паролей определена таким образом, что все пароли учетных записей пользователей должны удовлетворять следующим требованиям:
Все параметры политики паролей задаются в локальных групповых политиках. Для запуска Редактора Локальных Групповых Политик (Local Group Policy Editor) необходим выполнить команду gpedit.msc (для этого необходимо нажать комбинацию клавиш Win + R, в окне «Выполнить» (Run) в поле «Открыть:» (Open:) ввести имя команды и нажать «ОК» )
В запустившейся оснастке в дереве групповых политик последовательно раскрываем группы:
Здесь мы можем изменить необходимую нам политику. В частности, политику сложности паролей. Для этого два раза кликаем по строке «Пароль должен отвечать требованиям сложности» (Password must meet complexity requirements) и в окне свойства политики устанавливаем переключатель в «Отключен» (Disabled)
Для всех политик доступно довольно подробное описание, для доступа к которому необходимо перейти на вкладку «Объяснение» (Explain).
В этой же ветке можно изменить Политику блокировки учетных записей (Account Lockout Policy) в случае неверного ввода паролей. Все политики редактируются аналогичным образом.
Необходимо понимать, что изменение политики паролей может сильно снизить безопасность сервера. Лучше использователь специальные программы для генерации с хранения паролей.
Смотрите также:
Здесь будет рассказано как изменить политику паролей в Windows Server 2008. По умолчанию все пароли в Windows должны отвечать политике безопасности, а именно: Не содержать имени учетной записи пользователя…
В данной статье я расскажу как добавить разрешающее правило в Брандмауэр Windows Server 2012 R2 (в Windows Server 2008 R2 действия аналогичны). Правило будем добавлять на примере работы сервера 1С:Предприятие…
Источник
Изменение политики паролей в Windows Server 2008 R2
Здесь будет рассказано как изменить политику паролей в Windows Server 2008. По умолчанию все пароли в Windows должны отвечать политике безопасности, а именно:
Чтобы изменить политику паролей надо зайти в «Пуск» — «Администрирование» — «Локальная политика безопасности»
В открывшейся оснастке раскрываем ветку «Политика учетных записей» и «Политику паролей». Здесь мы можем изменять несколько параметров, в частности отключить политику «Пароль должен отвечать требованиям сложности»
Все, теперь можно использовать любые пароли, но нужно помнить, что это небезопасно.
Смотрите также:
Есть ситуации, когда необходимо изменить порт для подключения к серверу терминалов в Windows Server 2008 R2. Здесь я расскажу как это сделать. 1. Изменение порта в реестре Заходим на…
В этой статье я расскажу, как установить Windows Server 2008. Как правило, установка проходит без каких-либо трудностей и мало чем отличается от установки Windows 7. Но многие вещи, о которых…
Ниже будет рассказано о том, как добавить новое правило в Брандмауэр Windows Server 2008 R2. А конкретнее, будем добавлять разрешающее правило для порта 1433, который использует Microsoft SQL Server 2008 R2 или, как…
Источник
Настройка политики паролей пользователей в Active Directory
Для обеспечения высокого уровня безопасности учетных записей в домене Active Directory администратору необходимо настроить и внедрить доменную политику паролей. Политика паролей должна обеспечивать достаточную сложность, длину пароля, частоту смены пароля пользователей и сервисных учетных записей. Тем самым можно усложнить злоумышленнику возможность подбора или перехвата паролей пользователей.
Политика паролей в Default Domain Policy
По-умолчанию в домене AD настройка общих требований к паролям пользователей осуществляется с помощью групповых политик. Политика паролей учетных записей домена настраивается в политике Default Domain Policy. Эта политика прилинкована к корню домена и обязательно должна применяться к контролеру домена с FSMO ролью PDC эмулятор.
Вы можете изменить настройки политики паролей из консоли управления GPO или с помощью PowerShell командлета Set-ADDefaultDomainPasswordPolicy:
Основные настройки политики паролей
Рассмотрим все доступные для настройки параметры управления паролями пользователями. Всего есть шесть параметров политики паролей:
Если пользователь пытается сменить пароль, которые не соответствует политике паролей в домене, у него появится ошибка:
Кроме того, нужно отдельно выделить настройки в разделе GPO: Политика блокировки учетной записи (Account Lockout Password):
Настройки парольных политик домена Active Directory по-умолчанию перечислены в таблице:
Политика | Значение по-умолчанию |
Enforce password history | 24 пароля |
Maximum password age | 42 дня |
Minimum password age | 1 день |
Minimum password length | 7 |
Password must meet complexity requirements | Включено |
Store passwords using reversible encryption | Отключено |
Account lockout duration | Не определено |
Account lockout threshold | |
Reset account lockout counter after | Не определено |
В Security Compliance Toolkit Microsoft рекомендует использовать следующие настройки парольных политик:
Просмотр текущей парольной политики в домене
Вы можете посмотреть текущие настройки политики паролей в Default Domain Policy в консоли gpmc.msc (вкладка Settings).
Также можно вывести информацию о политике паролей с помощью PowerShell (на компьютере должен быть установлен модуль AD PowerShell):
Или можно проверить текущие настройки политики паролей AD на любом компьютере домена с помощью стандартной утилиты gpresult.
Несколько парольных политик в домене Active Directory
За управление доменной парольной политики отвечает контроллер домена, владелец FSMO роли PDC Emulator. Политика применяется к компьютерам домена, а не пользователям. Для редактирования настроек Default Domain Policy необходимы права администратора домена.
В домене может быть только одна политика паролей, которая применяется на корень домена и действует на всех пользователей без исключения (есть, конечно, нюансы, но о них ниже). Даже если вы создадите новую GPO с другими парольными настройками и примените ее к OU с параметрами Enforced и Block Inheritance, она не будет применяться к пользователям.
До версии Active Directory в Windows Server 2008 можно было настраивать только одну политику паролей для домена. В новых версиях AD вы можете создать отдельные политики паролей для различных групп пользователей с помощью гранулированных политик паролей Fine-Grained Password Policies (FGPP). Гранулированные политики паролей позволяют создавать и применять разные объекты параметров паролей (Password Settings Object — PSO). Например, вы можете создать PSO повышенной длиной или сложностью пароля для учетных записей доменных администраторов (см. статью о защите административных учетных записей в AD), или наоборот упростить (отключить) пароль для каких-то учетных записей.
Источник
Изменение политики паролей в Windows Server 2012 R2
Ниже приведена небольшая инструкция об изменении политики паролей в Microsoft Windows Server 2012 R2.
По умолчанию политика паролей определена таким образом, что все пароли учетных записей пользователей должны удовлетворять следующим требованиям:
Все параметры политики паролей задаются в локальных групповых политиках.
Для запуска Редактора Локальных Групповых Политик (Local Group Policy Editor) необходим выполнить команду gpedit.msc (для этого необходимо нажать комбинацию клавиш Win + R, в окне «Выполнить» (Run) в поле «Открыть:» (Open:) ввести имя команды и нажать «ОК»)
В запустившейся оснастке в дереве групповых политик последовательно раскрываем группы:
_ «Конфигурация компьютера» (Computer Configuration)
__ «Конфигурация Windows» (Windows Settings)
___ «Параметры безопасности» (Security Settings)
____ «Политики учетных записей» (Account Policies)
_____ «Политика паролей» (Password Policy)
Здесь мы можем изменить необходимую нам политику.
В частности, политику сложности паролей. Для этого два раза кликаем по строке «Пароль должен отвечать требованиям сложности» (Password must meet complexity requirements) и в окне свойства политики устанавливаем переключатель в «Отключен» (Disabled)
Для всех политик доступно довольно подробное описание, для доступа к которому необходимо перейти на вкладку «Объяснение» (Explain).
В этой же ветке можно изменить Политику блокировки учетных записей (Account Lockout Policy) в случае неверного ввода паролей.
Все политики редактируются аналогичным образом.
Необходимо понимать, что изменение политики паролей может сильно снизить безопасность сервера.
Источник
Как отключить требования сложности пароля на сервере 2016 года.
Параметр политики «Пароль должен соответствовать требованиям сложности» в Server 2016 определяет минимальные требования при изменении или создании паролей. Правила, включенные в требования к сложности пароля Windows Server, являются частью Passfilt.dll и не могут быть изменены напрямую.
По умолчанию в Server 2016 пароли должны соответствовать следующим минимальным требованиям:
1. Пароли не должны содержать имя учетной записи пользователя или части полного имени пользователя, которые превышают два последовательных символа.
2. Пароли должны быть длиной не менее семи символов.
3. Пароли должны содержать символы из трех следующих четырех категорий:
В этом руководстве содержатся инструкции по отключению требований к сложности паролей на автономном сервере 2016 или в контроллере домена Active Directory 2016.
Как удалить требования к сложности паролей в Active Directory Server 2016 или автономном сервере 2016.
Часть 1. Как отключить требования к сложности паролей в Active Directory 2016.
Часть 2. Как отключить требования к сложности паролей на автономном сервере 2016 года.
Часть 1. Как отключить требования сложности пароля в Active Directory Domain Server 2016.
Снять сложность пароля в Active Directory 2016.
1. В контроллере домена AD Server 2016 откройте Диспетчер серверов а затем из инструменты меню, откройте Управление групповой политикой. *
2. Под Домены, выберите свой домен и затем щелкните правой кнопкой мыши в Политика домена по умолчанию и выбрать редактировать.
3. Затем перейдите к:
4. На правой панели дважды щелкните на Пароль должен соответствовать требованиям сложности.
5. Выбрать Определите этот параметр политики: отключено а затем нажмите хорошо.
6. Наконец, откройте командную строку от имени администратора и введите следующую команду, чтобы обновить групповую политику.
Часть 2. Как отключить требования сложности пароля в автономном сервере 2016 года.
1. Из диспетчера сервера перейдите на инструменты и открыть Политика локальной безопасности, или (дополнительно) перейдите к Панель управления открыто Инструменты управления а затем откройте Политика локальной безопасности.
2. Под Настройки безопасности, Выбрать Политика паролей.
3. На правой панели дважды щелкните на Пароль должен соответствовать требованиям сложности.
4. Выбрать инвалид а затем нажмите ХОРОШО.
5. Наконец, откройте командную строку от имени администратора и введите следующую команду, чтобы обновить групповую политику.
Это оно! Дайте мне знать, если это руководство помогло вам, оставив свой комментарий о вашем опыте. Пожалуйста, любите и делитесь этим руководством, чтобы помочь другим.
Источник