Fine Grained Password Policy (FGPP) özelliği, Windows Server 2008 ile tanıtılmıştır ve bu nedenle bu özelliği kullanabilmek için Active Directory ortamınızın en az Windows Server 2008 Forest Functional Level (FFL) seviyesinde olması gerekmektedir. Windows Server 2016'da FGPP kullanabilmek için de aynı gereksinim geçerlidir; yani Forest Functional Level'in Windows Server 2008 veya daha üst bir seviyede olması zorunludur.
Fine Grained Password Policy (FGPP), Windows Server 2008 ile birlikte tanıtılan ve Windows Server 2016'da da mevcut olan bir özelliktir. Bu özellik, Active Directory (AD) ortamlarında farklı kullanıcı grupları için farklı parola ve hesap kilitleme politikaları oluşturmanızı sağlar. FGPP, özellikle büyük ve karmaşık AD yapılarında, farklı güvenlik ihtiyaçlarına sahip kullanıcı gruplarının yönetimini kolaylaştırır. FGPP özelliği, Windows Server 2008 ile birlikte gelen bir özellik olup, bu nedenle Forest Functional Level'in (FFL) en az Windows Server 2008 seviyesinde olması gerekmektedir. Windows Server 2016'da FGPP kullanabilmek için Active Directory Forest Functional Level'in Windows Server 2008 veya daha üst bir seviyede olması zorunludur.
FGPP kullanmanın çeşitli avantajları vardır. Özelleştirilmiş güvenlik sağlar; farklı kullanıcı grupları için farklı parola politikaları uygulayarak güvenliği artırabilirsiniz. Esneklik sunar; tek bir Active Directory ortamında birden fazla parola politikası tanımlayabilirsiniz. Merkezi yönetim imkanı verir; tüm parola politikalarını merkezi bir yerden yönetebilir ve uygulayabilirsiniz. FGPP'nin çeşitli özellikleri vardır ve bu özelliklerin her biri, kullanıcıların parola ve hesap yönetimini daha etkili ve güvenli hale getirmeye yöneliktir.
Örneğin, msDS-PasswordReversibleEncryptionEnabled özelliği, parolaların geri çevrilebilir şekilde şifrelenip şifrelenmeyeceğini belirlerken, msDS-PasswordHistoryLength kullanıcıların eski parolalarını kaç kez kullanamayacağını belirler. msDS-PasswordComplexityEnabled, parola karmaşıklık gereksinimlerini etkinleştirir ve msDS-MinimumPasswordLength, parolanın en az kaç karakter uzunluğunda olması gerektiğini belirler. msDS-MinimumPasswordAge, bir parolanın değiştirilmeden önce ne kadar süreyle kullanılabileceğini belirlerken, msDS-MaximumPasswordAge bir parolanın ne kadar süreyle geçerli olacağını belirler. msDS-LockoutThreshold, hesabın kaç başarısız giriş denemesinden sonra kilitleneceğini belirlerken, msDS-LockoutObservationWindow, hesabın kilitlenme sayısının sıfırlanacağı zaman penceresini belirler. Son olarak, msDS-LockoutDuration hesabın kilitli kalacağı süreyi belirler.
Fine Grained Password Policy (FGPP), AD ortamlarında parola politikalarının daha esnek ve özelleştirilebilir olmasını sağlayan güçlü bir özelliktir. Windows Server 2016'da bu özelliği kullanabilmek için AD Forest Functional Level'in en az Windows Server 2008 seviyesinde olması gerekmektedir. FGPP, farklı kullanıcı grupları için farklı güvenlik gereksinimlerini karşılamada büyük bir avantaj sağlar ve AD yönetimini daha esnek hale getirir. FGPP'nin detaylı özellikleri ve kullanım alanları, AD yönetimini daha güvenli ve esnek hale getirmek isteyen sistem yöneticileri için vazgeçilmezdir.
Windows Server 2008'de FGPP yönetimi için genellikle ADSI Edit ve PowerShell gibi araçlar kullanılırken, Windows Server 2012 ile birlikte Active Directory Administrative Center (ADAC) tanıtılmıştır. ADAC, FGPP yönetimini daha kullanıcı dostu hale getiren grafiksel bir arayüz sunar. Bu sayede, FGPP politikalarını oluşturmak, düzenlemek ve uygulamak daha kolay hale gelmiştir. ADAC ile FGPP yönetimi, AD yöneticilerine sezgisel bir kullanıcı arayüzü üzerinden FGPP politikalarını yapılandırma ve yönetme imkanı tanır, böylece karmaşık komut satırı işlemleri yerine görsel araçlarla daha hızlı ve etkin yönetim sağlanır.
Windows Server 2012 ile de bu uygulama tamamen grafiksel ara yüze taşındı. Windows Server 2008 ve Windows Server 2008 R2 sürümlerinde bu özelliği ADSIEDIT konsulu üzerinden gerçekleştirirken, Windows Server 2012 Active Directory Administrative Center (ADAC) üzerinden basitçe uygulayabiliyoruz.
Windows Server 2012 Domain Controller sunucusuna Domain Admin hesabı ile Logon oluyorum. Server Manager konsolunda bulunan Active Directory Administrative Center panelini açıyorum. Panelin sağ bölümde bulunan AD ismi (Local) alanına tıklıyorum. System Container'ına tıklıyorum.
Password Settings Container içinde sağ tıklayarak New > Password Settings seçiyorum. Policy ismini girerek, diğer alanları dolduruyorum.
Bilgi girişi yaptığınız alanların hangi amaçlarla kullanıldıklarını da kısaca açıklayayım;
● Name: Policy ismi.
● Precedence: Policy öncelik değerini belirliyoruz. Bunun amacı, bir User veya Global Security Group üzerinde birden fazla PSO tanımlı ise, öncelik sırasına bakar ve en yüksek öncelik seviyesi hangi PSO'da ise o geçerlidir.
● Minimum Password Lenght: Belirlenecek Password'ün minimum karakter sayısı. (boş Password kullanılacaksa “0” verebilirsiniz)
● Number of Password remembered: En son kaç şifrenin tekrardan kullanılmasını engellediğimiz alandır.
● Password must meet complexity requirements: Password'ün Complex olup olmayacağını belirlediğimiz alandır.
● Store Password using reversible encryption: Belirlenen Password'ün veritabanında düz metin moduna benzer bir şifreleme ile şifreleyerek tutulmasını sağlar. (etkinleştirilmesini önermem)
● User cannot change the Password within (days): Password'ün değiştirilebilmesi için geçmesi gereken minimum sürenin (gün bazlı) belirlendiği alandır.
● User must change the Password after (days): Password'ün maksimum kullanım süresinin (gün bazlı) belirlendiği alandır.
● Number of failed Logon attemps allowed: Password'ün kaç kez yanlış girilirse kullanıcı hesabının kilitleneceğini belirleme. ("0" ile Password, sınırsız sayıda yanlış girilebilir.)
● Reset failed Logon attemps count after (mins.): Kilitlenen account’un kaç dakika sonra tekrardan açacağınının belirlendiği alandır. (bu süre sonunda yanlış girişlerin sayısının tutulduğu sayaç sıfırlanır)
● Account will be locked out:
● For a duration of (mins): Kilitlenen bir hesabın kilidinin belirtilen süre (dakika bazlı) sonunda açılması sağlanmış olacaktır.
● Until an administrator manually unlocks the account: Kilitlenen bir hesabın kilidi, sistem yöneticisi açana kadar kilitli kalması sağlanmış olur.
Oluşturuduğumuz bu PSO’yu hangi kullanıcı veya Global Security Group’a uygulayacaksak “Directly Applies To” kısmına eklememiz gerekiyor.
Firat isimli Domain kullanıcısının Account özelliklerine baktığımızda, oluşturduğumuz Password Policy’nin kullanıcıya link'lendiğini görebiliriz.
Ortamınıza göre düzenlediğiniz Password Policy ayarlarınızı herhangi bir kullanıcı yada Global Securtiy Group üzerinde uyguladığınızda, sadece o kullanıcı ve grup üzerinde etkili olduğunu gözlemleyebilirsiniz.
Dikkat etmeniz gereken en önemli ayar, “Precedence” değeridir. Unutmayın ki, değeri küçük olan PSO, diğerlerinden baskındır. Tüm bu anlattıklarımı PowerShell kullanarak da yapabilirsiniz. Bunun için PowerShell komutlarıyla Fine Grained Password Policy oluşturma isimli makalemi okumanızı tavsiye ederim.
Faydalı olması dileğiyle...
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.
1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim.
2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde onlarca farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin önde gelen entegratör firmalarından olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum.
Ek olarak, 2015 yılında Network Akademi bünyesinde Microsoft Certified Trainer (MCT) ünvanı ile Sistem ve Network Uzmanlık eğitimleri vermeye başladım. Sistem ve Network Uzmanlığı alanındaki eğitmenlik serüvenime Network Akademi bünyesinde devam etmekteyim.