Server 2008 öncesinde Active Directory domain yapılarında “Password Policy” ve “Account Lockout Policy “ politika ayarları sadece domain seviyesinden uygulanarak domain ortamında çalışan kullanıcılara etki edebiliyordu. Organization Unit seviyesinden uygulanan GPO ayarları içerisinden yapılan “Password Policy” ve “Account Lockout Policy “ politika ayarları domain ortamındaki kullanıcılara etki etmediğini, sadece o OU altında bulunan bilgisayarların lokal yapısın da açılan kullanıcılara etki ettiğini tekrar belirtmiş olalım. Dolayısıyla domain seviyesinden uygulanan tek bir GPO ile ayarlanan “Password Policy” ve “Account Lockout Policy “ politika ayarları domaindeki tüm hesaplar için ortak oluyordu. Eğer belli kullanıcı yada kullanıcılara farklı “Password Policy” ve “Account Lockout Policy “ politika ayarları yapmak istiyorsak ya üçüncü parti çözümleri kullanmamız ya da domain seviyesinden uygulanan GPO içerisinden kullanılan ayarı değiştirip, farklı ayarı alması istenen kullanıcılara gerekli ayarları uyguladıktan sonra GPO içerisindeki “Password Policy” ve “Account Lockout Policy “ politika ayarlarını tekrar eski haline çevirmek gibi workaround’larla ya da bir diğer deyişle taklalar attırarak buna çözüm üretmemiz gerekiyordu.
Domain seviyesinden genele uygulanan GPO içerisindeki “Password Policy” ve “Account Lockout Policy “ politika ayarlarının yanında Windows Server 2008 ile gelen Fine Grained Password Policies kullanılarak doğrudan kullanıcı hesabına ya da Global Security gruplara özel “Password Policy” ve “Account Lockout” politikları uygulayabiliyoruz. Böylece domain seviyesinden genel olarak tüm kullanıcılar için uygulanacak “Password Policy” ve “Account Lockout Policy “ politika ayarları yapıldıktan sonra kullanıcı ya da grup seviyesinde de özel kullanıcılar için “Password Policy” ve “Account Lockout Policy “ politika ayarları uygulanmış olacaktır.
Server 2008 R2 ile tanıştığımız Active Directory Administrative Center (ADAC) bileşeninin özelliklerini Microsoft Windows Server 2022 Insider Preview ile ADAC konsolunda da devam ettiriyor. Geleneksel olarak kullandığımız Microsoft son yıllarda geliştirdiği server işletim sistemlerinde Active Directory Users and Computers konsolu yerine ADAC konsolunu daha da zenginleştirerek kullanımını yaygınlaştırmayı amaçlıyor. Bu anlamda da Active Directory Users and Computers konsolu yerine yenilikleri ve geliştirmeleri ADAC konsolu üzerinde yaptığını görüyoruz. Windows Server 2022 Insider Preview ADAC konsolu içerisinde gelen yeniliklerden biri de Grafiksel arayüzden yönetilebilen Active Directory Fine Grained Password Policies özelliği. Şimdi Fine Grained Password Policies özelliğini örnekle ele alalım.
Fine Grained Password Policies özelliğini uygulamak için Active Directory Users and Computers konsolu üzerinde bir grup oluşturmak için Create Group butonuna tıklıyoruz.
Grubumuza bir isim verip OK ile oluşturma işlemini tamamlayalım.
FGPP isimli Grubumuz oluştu.
TEST 1. Ve TEST 2. İsimli kullanıcılarımızı FGPP grubumuza üye yapalım.
Şu anda mevcut durumda TEST 1. İsimli kullanıcımızın üzerinde sağ tıklatıp Reset Password… yaparak parolasını değiştirelim.
Kullanıcımıza 3 karakterli bir parola vermeye çalışıyorum ve OK ile bu işlemi tamamlamak istiyorum.
Bu işlem sonrasında parola gereksinimlerinin karşılanmadığı için bu işlemi yapamadığımızı görüyoruz.
Bunun nedenine gelecek olursak, mevcut yapıda oluşan Default Domain policy üzerinde aşağıdaki ayarlar bulunmakta. Bu kurala uymayan parola ataması yapılamamakta. Default Domain Policy haricinde özel olarak bir parola policy gerektiği için bu durumda yardımımıza Fine Grained Password özelliği yetişiyor.
Gerekli ayarları yapılandırabilmek için Active Directory Administrative Center konsolumuzu açalım.
Konsol üzerinde Domain ismi (rizasahan.lokal) -> System -> Password Setting Container kabına gelelim.
Açılan ekranda New menüsünden Password Settings’e tıklayalım.
Bu işlemden sonra Fine Grained Password Policies yapılandırma ekranı gelmekte. Bu ekrandaki tanımlamaları aşağıdaki gibi açıklayalım.
Enforce Minimum Password Lenght: En kısa şifre uzunluğu biz 4 olarak belirledik en kısa 4 haneli olabilir.
Enforce Password History: Bu kısımda en son girilen kaç şifrenin kullanılmayacağı belirlenir.
Password must meet complexity requirements: Girilecek olan şifrenin komplex karmaşık şifre olmasının istenmesi durumunda seçilir. Örnek olarak Password1 gibi büyük, küçük harf, rakam karması bir şifreleme olur.
Storage Password using reversible encryption: Şifrelerin veri tabanında düz metin (plain-text) moduna benzer bir şifreleme metodu ile saklanıp saklanmayacağını belirler.
User cannot change the password within day: Şifrenin değiştirilebilmesi için geçmesi gereken minimum süre, bir diğer deyişle şifrenin minimum yaşı belirlenir.
User must change the password after days: Şifrenin maksimum kullanım süresi ya da şifrenin kullanım süresi belirlenir. Bu süre sonunda kullanıcı şifreyi değiştirmeden logon olamaz.
Number of failed logon attemps allowed: Şifrenin kaç kez yanlış girilirse kullanıcı hesabının kilitleneceği belirlenir. “0” değeri verilmesi durumunda sınırsız sayıda yanlış girilse de hesap kilitlenmez.
Reset failed logon attemps count after mins: Yanlış girme sayacının sıfırlanma süresi belirlenir. Bu süre sonunda yanlış girişlerin sayısının tutulduğu sayaç sıfırlanır.
Account will be locked out ayarında For a duration of mins: Kilitlenen bir hesabın kilidinin belirtilen süre sonunda açılması sağlanmış olacaktır.
Until ad administrator manually unlocks the account: Kilitlenen bir hesabın kilidi sistem yöneticisi açana kadar kilitli kalması sağlanmış olur.
Biz örneğimizde “FG Password Policy” isimli bir tanımlama yaptık. Bu örneğimizde basit işlem olacağı için sadece kullanıcının şifresinin en az 3 karakter olabileceği geri kalan özelliklerin olmadığı bir yapı belirledik. Geri kalan tüm özellikleri devre dışı bıraktık. Bu ayarlarımızın etkin olacağı kullanıcıları belirmek için Add… butonuna tıklayalım.
Açılan ekranda FGPP uygulanacak olan grubumuzu seçelim. OK ile grubumuzu policy içerisine ekleyelim.
Grubumuzda eklendiğine göre ayarımız tamamlandı. OK ile policy’mizi kaydedelim.
İlgili FGPP’miz oluştu. Üzerinde sağ tıklatıp Properties menüsüne girerek üzerinde sonradan değişiklik yapabiliriz.
Tüm ayarlarımızı baştan düzenlememiz mümkün.
Şimdi FGPP içerisinde yer alan gruba üye olan bir hesap üzerinde parola değiştirmeyi test edelim. TEST 1. İsimli kullanıcı üzerinde sağ tıklayarak Reset Password’e tıklayalım.
Kullanıcı hesabımıza 3 karakterli parola vererek OK ile onaylayalım.
Parolamız başarı ile değişti.
FGPP grubumuza üye olmayan bir kullanıcımız olan Administrator hesabı üzerinde parola değişimini test edelim. Hesap üzerinde sağ tıklayarak Reset Password’e tıklayalım.
3 karakter olacak şekilde parolamızı verelim.
Görüldüğü gibi administrator hesabı FGPP grubunun üyesi olmadığı için Defalt Domain Policy üzerinden gelen policy’e takılmakta ve gereksinimler karşılanmadığı için uyarı vermekte.
Farklı farklı ilkeler oluşturarak farklı gruplara atamalar yapabilirsiniz. FGPP ye dahil olmasını istediğiniz hesapları ilgili gruba üye ederek FGPP üzerinden gelen ayarlardan etkilenmesini sağlayabilirsiniz. Umarım yararlı olur bir sonraki makalemizde görüşmek dileğiyle.
Eline sağlık Rıza.