Конфигурирование политики безопасности на уровне домена
Account Policies (Политики учетных записей), расположенные в контейнере Computer Conf iguration\ Windows Settings\Security Settings, содержат параметры настройки защиты, которые могут быть сконфигурированы только на уровне домена. Account Policies включает три группы политик: Password Policy (Политика паролей), Account Lockout Policy (Политика блокировки учетных записей) и Kerberos Policy (Политика Kerberos) (см. рис. 13-5). Эти политики, за исключением Kerberos Policy, применяются ко всем пользователям в домене, независимо от того, с какой рабочей станции пользователи вошли в сеть. Политика Kerberos Policy применяется только на тех компьютерах домена, на которых вы-
полняются системы Windows 2000, Windows XP Professional или Windows Server 2003.
Рис. 13-5. Отображение политик безопасности уровня домена Политика паролей
Опции конфигурации политики паролей содержат параметры настройки для истории пароля, его длины и сложности. В таблице 13-3 описывается каждая установка.
Табл. 13-3. Политики паролей
Параметры установки конфигурации | Описание | Значение по умолчанию | |||
Enforce Password History (Предписанная история пароля)
| Определяет количество новых уникальных паролей, которые должны быть введены, прежде чем пользователь сможет повторно использовать старый пароль. Возможные значения: от 0 до 24 | 24 пароля запоминается для контроллеров домена и компьютеров-членов домена; 0 для автономных серверов. | |||
Maximum Password Age (Максимальное время использования пароля) | Определяет количество дней, в течение которых может использоваться пароль, прежде чем пользователь должен будет его изменить. Чтобы сконфигурировать пароль для бесконечно долгого использования, установите число дней на 0. Возможные значения: от 0 до 999 | 42 дня. | |||
Minimum Password Age (Минимальное время использования пароля) | Определяет количество дней, в течение которых пароль должен использоваться, прежде чем пользователь сможет его изменить. Чтобы позволить немедленное изменение пароля, установите это значение на 0. Возможные значения: от 0 до 998 | 1 день для контроллеров домена и компьютеров-членов домена; 0 -для автономных серверов. | |||
Minimum Password Length (Минимальная длина пароля) | Определяет наименьшее количество символов, требуемых для пароля. Если никакого пароля не требуется, установите значение на 0. Возможные значения: от 0 до 14 | 7 символов для контроллеров домена и компьютеров-членов домена; 0 - для автономных серверов. | |||
Passwords Must Meet Complexity Requirements (Пароли должны удовлетворять требованиям определенной сложности) | Увеличение сложности пароля за счет предписания : условия, что пароль не должен содержать какую-либо часть имени пользователя - этой учетной записи, должен содержать по крайней мере 6 символов, содержать символы, принадлежащие трем из четырех перечисленных ниже категорий: английские прописные буквы, английские буквы нижнего регистра, цифры от 0 до 10, специальные символы (типа !, $,#) | Включено для контроллеров домена и компьютеров-членов домена. Выключено для автономных серверов. | |||
Store Password Using Reversible Encryption (Хранить пароль, используя обратимое кодирование) | Использование этой установки означает то же самое, что и сохранение паролей в открытом тексте. Эта политика обеспечивает поддержку для приложений, которые требуют доступа к паролю для аутентификации. | Заблокировано. |