[Çözüldü] Active Directory Password Reset Policy Hakkında

Böyle bir ayar yok, yani şifre politikası tektir, hakan şifre değiştirirse şöyle olsun diyemezsin.

İstisnalar resetleyene göre değil ilgili hesaba göre atanır.

Örnek depo ekibi mavi yakalıdır çok teknoloji bilmiyodur onlara kompleks şifre istemezken beyaz yakada istiyorsun çözüm FGPP

Fine Grained Password Policies FGPP Nedir? - ÇözümPark Sözlük (cozumpark.com)

mavileri bir gruba alırsın onlara ayrı PP beyazları ayrı bir gruba alırsın onlara ayrı PP tanımlarsın.

Veya 3 parti ürünler var dll dosyasını değiştirerek misal şirket ismi geçmesin şifrelerde gibi daha detaylı filtreler yapabiliyorsun bu konuda forumda onlarca kez paylaşım yaptık lütfen o program ne deme arama yaparsan bulursun.

Ama Ahmet şifre resetlerse 7 karakterli şifre versin, Mehmet şifre resetlerken 10 versin darılma ama zaten saçma 🙂 şifre politikası resetleyene göre değil resetlenen user hesabına göre yapılır.

Hocam Selamlar,

Muhtemelen yapmak istediğimi anlatamadım.

Fine Grained Password Policies kullanıyoruz.

Benim sorunum şu,

Örnek senaryo;

*Ahmet bir helpdesk çalışanı

*Mehmet Muhasebe uzmanı

Mehmet Password Policy 'de belirtilen maksimum password kullanım süresi dolmadan 7 gün önce bilgilendirme maili aldı. Windows 'dan ctrl+alt+delete yapıp şifresini değiştirmek istedi.

Mehmet aşağıdaki policye göre şifresini belirliyor,

*En az 10 karakter olmak zorunda

*Karmaşık olmak zorunda

*Kullandığı son 5 passwordü şifre olarak belirleyemez

* Minimum 1 gün geçerli

*Maksimum 90 gün geçerli

Mehmet yukarıdaki policy dışında şifre oluşturamaz. Burada bir sorun yok

Ancak Helpdesk personeli Ahmet AD Users and Computers Tool 'dan bir kullanıcının şifresini resetlemek zorunda kaldığında aşağıdaki durum oluşuyor

* Şifreyi en az 10 karakter belirlemek zorunda kalıyor

*Karmaşık şifre belirlemek zorunda kalıyor

*Kullandığı son 5 passwordü şifre olarak belirleyebiliyor.

*Minimum password yaşı 1 olmuyor.

Yani policydeki son 2 kural AD Users and Computers Tool 'da geçerli olmuyor. Ben geçerli olmasını istiyorum. Çünkü zaten password policyim 1 tane.

Kullanıcı Windows 'dan veya Exchange owa sayfasından şifre değişikliği yaparken uygulanan policy Helpdesk uzmanı AD Users and Computers Tool 'undan şifre resetlendiğinde bypass oluyor.

İnşallah doğru anlatabilmişimdir hocam

Saygılar

Sevgiler

Konu biraz değişti ama aslında talebin yine benzer olduğu için yine olmaz diyorum 🙂

Temel olarak verilen şifrenin uzunluğu ve kompleks olması ok, bu kısım aynı ancak bir kullanıcının şifresini değiştirmesi ile şifre resetleme sonuçta aynı gibi görünse de aslında izin anlamında aynı şeyler değildir. Eğer bu 1 gün olayı çalışsaydı admin bu durumda örnek bir şifre resetledi ama şifreyi yanlış atadı veya bir şifre resetledi ancak hata yaptığını fark etti veya şifre başka bir nedenden ötürü ikinci kez resetlemek istedi, ne olacak? 24 saat bekleyecek mi? Tabi ki beklemeyecek çünkü bu bir "administrative privilege" dır, yani yetki kullanımıdır. Diğer konu ise yine aynı nedenden yetki kullanımı ile bunu yapmasını sağlıyor, örnek benim bir hesabım var, servis hesabı, şifre değiştirme zamanı geliyor, MSA kullanıyorsan ok bu doğrusu ama biliyorsun hayat her zaman böyle değil veya basit bir serivs hesabı olabilir ondan msa ayarlamadın, şifrenin süresi doldu, ona bağlı bir sürü servis var, şifreyi aynı yapmak için ne yapıyorsun? Resetliyorsun, bu gpo ya takılsa ne olacak? Yeni şifre vereceksin, bu durumda bu servis hesabının kullanıldığı her yere gidip yeni şifre girmen lazım.

Özetle aslında yukarıdaki gibi aynı noktadasın, böyle bir şey olmaz. Yapılan gayet normal ve hatta bu şekilde olmadığı durumda ortalık yangın yerine döner.