İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Fırat Boyan 17.05.2016 2

Windows Server 2012 Fine Grained Password Policy (FGPP)

Windows 2000 ve sonrası işletim sistemlerinde Windows Server 2008'e kadar tüm kullanıcı hesapları ve gruplar için tek bir Password Policy ve Account Lockout Policy uygulanabiliyordu. Windows Server 2008 ile beraber gelen Fine Grained Password Policy ile Active Directory üzerindeki kullanıcı hesapları ve gruplar için farklı Password Policy ve Account Lockout Policy ayarları yapılabilir hale geldi.

Windows Server 2012 Fine Grained Password Policy

Windows Server 2012 ile de bu uygulama tamamen grafiksel ara yüze taşındı. Windows Server 2008 ve Windows Server 2008 R2 sürümlerinde bu özelliği ADSIEDIT konsulu üzerinden gerçekleştirirken, Windows Server 2012 Active Directory Administrative Center (ADAC) üzerinden basitçe uygulayabiliyoruz.

Windows Server 2012 Domain Controller sunucusuna Domain Admin hesabı ile Logon oluyorum. Server Manager konsolunda bulunan Active Directory Administrative Center panelini açıyorum. Panelin sağ bölümde bulunan AD ismi (Local) alanına tıklıyorum. System Container'ına tıklıyorum.

Password Settings Container içinde sağ tıklayarak New > Password Settings seçiyorum. Policy ismini girerek, diğer alanları dolduruyorum.

Windows Server 2012 Fine Grained Password Policy

Windows Server 2012 Fine Grained Password Policy

Bilgi girişi yaptığınız alanların hangi amaçlarla kullanıldıklarını da kısaca açıklayayım;

● Name: Policy ismi.
● Precedence: Policy öncelik değerini belirliyoruz. Bunun amacı, bir User veya Global Security Group üzerinde birden fazla PSO tanımlı ise, öncelik sırasına bakar ve en yüksek öncelik seviyesi hangi PSO'da ise o geçerlidir.
● Minimum Password Lenght: Belirlenecek Password'ün minimum karakter sayısı. (boş Password kullanılacaksa “0” verebilirsiniz)
● Number of Password remembered: En son kaç şifrenin tekrardan kullanılmasını engellediğimiz alandır.
● Password must meet complexity requirements: Password'ün Complex olup olmayacağını belirlediğimiz alandır.
● Store Password using reversible encryption: Belirlenen Password'ün veritabanında düz metin moduna benzer bir şifreleme ile şifreleyerek tutulmasını sağlar. (etkinleştirilmesini önermem)
● User cannot change the Password within (days): Password'ün değiştirilebilmesi için geçmesi gereken minimum sürenin (gün bazlı) belirlendiği alandır.
● User must change the Password after (days): Password'ün maksimum kullanım süresinin (gün bazlı) belirlendiği alandır.
● Number of failed Logon attemps allowed: Password'ün kaç kez yanlış girilirse kullanıcı hesabının kilitleneceğini belirleme. ("0" ile Password, sınırsız sayıda yanlış girilebilir.)
● Reset failed Logon attemps count after (mins.): Kilitlenen account’un kaç dakika sonra tekrardan açacağınının belirlendiği alandır. (bu süre sonunda yanlış girişlerin sayısının tutulduğu sayaç sıfırlanır)
● Account will be locked out:
● For a duration of (mins):
 Kilitlenen bir hesabın kilidinin belirtilen süre (dakika bazlı) sonunda açılması sağlanmış olacaktır.
● Until an administrator manually unlocks the account: Kilitlenen bir hesabın kilidi, sistem yöneticisi açana kadar kilitli kalması sağlanmış olur.
Oluşturuduğumuz bu PSO’yu hangi kullanıcı veya Global Security Group’a uygulayacaksak “Directly Applies To” kısmına eklememiz gerekiyor.

Windows Server 2012 Fine Grained Password Policy

Firat isimli Domain kullanıcısının Account özelliklerine baktığımızda, oluşturduğumuz Password Policy’nin kullanıcıya link'lendiğini görebiliriz.

Windows Server 2012 Fine Grained Password Policy

Ortamınıza göre düzenlediğiniz Password Policy ayarlarınızı herhangi bir kullanıcı yada Global Securtiy Group üzerinde uyguladığınızda, sadece o kullanıcı ve grup üzerinde etkili olduğunu gözlemleyebilirsiniz.

Dikkat etmeniz gereken en önemli ayar, “Precedence” değeridir. Unutmayın ki, değeri küçük olan PSO, diğerlerinden baskındır. Tüm bu anlattıklarımı PowerShell kullanarak da yapabilirsiniz. Bunun için PowerShell komutlarıyla Fine Grained Password Policy oluşturma isimli makalemi okumanızı tavsiye ederim.

Faydalı olması dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar: Fırat Boyan

Adım Fırat Boyan. 1985 yılında Antalya'nın Alanya ilçesinde doğdum. 2008 yılından beri İstanbul'da yaşıyorum. Kıdemli Sistem Mühendisi, Microsft Sertifikalı Eğitmen (MCT) ve İngilizceden Türkçeye ve Türkçeden İngilizceye serbest, Noter Yeminli Tercümanım. 18 yıldır Bilgi Teknolojileri alanında hizmet veriyorum. Şu anda Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum ve Bilgi Teknolojileri alanında eğitim hizmetleri veren Bilge Adam bünyesinde Microsoft Sertifikalı Eğitmen (MCT) olarak Sistem ve Network Uzmanlığı eğitimleri veriyorum. Bunun yanı sıra, kurumsal firmalara BT danışmanlık hizmetleri de vermekteyim. Hakkımda daha fazla bilgi sahibi olmak ve sahip olduğum Microsoft sertifikalarımı incelemek için Hakkımda sayfasını ziyaret edebilirsiniz.

YORUMLAR
Bu makaleye 2 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


11.07.2016 rafet
Hocam emeğinize sağlık.

28.06.2017 Fırat Boyan
Teşekkürler Rafet.