вторник, 16 июня 2015 г.

Раздельная политика паролей (Fine-Grained Password Policy)


Поступила интересная задача - сделать политику для группы пользователей. Сразу представилась давно известное замыкание групповой политики, которое применялось на пк в контексте пользователей, в данном случае не подходит так как политика паролей в GPO задается только на ПК.
Погуглив на тему политик паролей наткнулся не известную мне =( раздельную политику паролей.
Вариантов настройки масса, в контексте windows server 2012 R2 обрисую самый простой
Открываем оснастку Active Directory Administrative Center и переходим в
Password Settings Container (domain\system), легко найти по поиску в фильтре


По кнопке "NEW" создаем политику

В которой задаем необходимые параметры, и ниже подключаем к пользователю\лям или группам и жмем ОК.
Группа обязательно должна быть глобальной!

Дополнительные материалы для справки
https://technet.microsoft.com/ru-ru/library/cc770842%28v=ws.10%29.aspx
http://blogs.technet.com/b/uktechnet/archive/2012/08/28/guest-post-how-to-use-fine-grained-passwords-in-windows-server-2012.aspx
http://sysadmin.su/blog/169.html
http://habrahabr.ru/company/netwrix/blog/169543/
http://windowsnotes.ru/windows-server-2008/razdelnaya-politika-parolej-v-windows-server-2008/
https://dimanb.wordpress.com/2012/07/19/pso-ad/