İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Fırat Boyan 23.01.2018 0

Windows Server 2016'da PowerShell İle Fine Grained Password Policy (FGPP) Oluşturma

Windows 2000 ve sonrası işletim sistemlerinde Windows Server 2008'e kadar tüm kullanıcı hesapları ve gruplar için tek bir Password Policy ve Account Lockout Policy uygulanabiliyordu. Windows Server 2008 ile beraber gelen Fine Grained Password Policy ile Active Directory üzerindeki kullanıcı hesapları ve gruplar için farklı Password Policy ve Account Lockout Policy ayarları yapılabilir hale geldi. Windows Server 2012 ile de bu uygulama tamamen grafiksel ara yüze taşındı.

Windows Server 2012 Fine Grained Password Policy

Windows Server 2008 ve Windows Server 2008 R2 sürümlerinde bu özelliği ADSIEDIT konsulu üzerinden gerçekleştirirken, Windows Server 2012 ve sonraki sürümlerde Active Directory Administrative Center (ADAC) üzerinden basitçe uygulayabiliyoruz ancak Bu makalemde sizlere Windows Server 2016'da sadece PowerShell Komutu ile Fine Grained Password Policy (FGPP) Oluşturma konusunu ele alıyor olacağım.

1- Sol Taraftaki firatboyan (local) > System > Password Settings Container içini görüntülediğimde, Container için boş ve herhangi bir Password Policy Oluşturulmağını görüyorum.

PowerShell İle Fine Grained Password Policy (FGPP) Oluşturma

2- Windows PowerShell'i çalıştırıyorum.

PowerShell İle Fine Grained Password Policy (FGPP) Oluşturma

3- Açılan Windows PowerShell ekranında, aşağıdaki ilgili PowerShell komutunu yazıyorum;

New-ADFineGrainedPasswordPolicy TestFGPP_POL01 -ComplexityEnabled:$true -LockoutDuration:"00:10:00" -LockoutObservationWindow:"00:10:00" -LockoutThreshold:"3" -MaxPasswordAge:"90.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"9" -PasswordHistoryCount:"3" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true

PowerShell İle Fine Grained Password Policy (FGPP) Oluşturma

4- PowerShell komutu başarılı bir şekilde çalıştı. Active Directory Administrative Center (ADAC) üzerinden oluşturduğum Fine Grained Password Policy (FGPP)'ye göz attığımda, yine başarılı bir şekilde oluştuğunu görebiliyorum.

PowerShell İle Fine Grained Password Policy (FGPP) Oluşturma

5- Oluşturduğum Fine Grained Password Policy (FGPP) detaylarını da görüntülediğimde, PowerShell parametrelerinde tanımladığım değerlerin de oluştuğunu görüyorum.

PowerShell İle Fine Grained Password Policy (FGPP) Oluşturma

Bilgi girişi yaptığınız alanların hangi amaçlarla kullanıldıklarını da kısaca açıklayayım;

● Name: Policy ismi.
• PowerShell Paramretre Karşılığı: New-ADFineGrainedPasswordPolicy:TestFGPP_POL01
● Precedence: Policy öncelik değerini belirliyoruz. Bunun amacı, bir User veya Global Security Group üzerinde birden fazla PSO tanımlı ise, öncelik sırasına bakar ve en yüksek öncelik seviyesi hangi PSO'da ise o geçerlidir.
• PowerShell Parametre Karşılığı: -Precedence:"1"
● Minimum Password Lenght: Belirlenecek password'ün minimum karakter sayısı. (boş password kullanılacaksa “0” verebilirsiniz)
• PowerShell Parametre Karşılığı: -MinPasswordLenght:"7"
● Number of password remembered: En son kaç şifrenin tekrardan kullanılmasını engellediğimiz alandır.
• PoweShell Paramertre Karşılığı: -PasswordHistoryCount:"3"
● Password must meet complexity requirements: Password'ün Complex olup olmayacağını belirlediğimiz alandır.
• PowerShell Parametre Karşılığı: -ComplexityEnabled:$true
● Store password using reversible encryption: Belirlenen Password'ün veritabanında düz metin moduna benzer bir şifreleme ile şifreleyerek tutulmasını sağlar. (etkinleştirilmesini önermem)
● User cannot change the password within (days): Password'ün değiştirilebilmesi için geçmesi gereken minimum sürenin (gün bazlı) belirlendiği alandır.
• PowerShell Parametre Karşılığı: -MinPasswordAge:"1.00:00:00"
● User must change the password after (days): Password'ün maksimum kullanım süresinin (gün bazlı) belirlendiği alandır.
• PowerShell Parametre Karşılığı: -MaxPasswordAge:"90.00:00:00"
● Number of failed logon attemps allowed: Password'ün kaç kez yanlış girilirse kullanıcı hesabının kilitleneceğini belirleme. ("0" ile Password, sınırsız sayıda yanlış girilebilir.)
• PowerShell Parametre Karşılığı: -LockoutThreshold:"3"
● Reset failed logon attemps count after (mins.): Kilitlenen account’un kaç dakika sonra tekrardan açacağınının belirlendiği alandır. (bu süre sonunda yanlış girişlerin sayısının tutulduğu sayaç sıfırlanır)
• PowerShell Parametre Karşılığı: -LockoutObservationWindow:"00:10:00"
● Account will be locked out:
1- For a duration of (mins):
Kilitlenen bir hesabın kilidinin belirtilen süre (dakika bazlı) sonunda açılması sağlanmış olacaktır.
• PowerShell Parametre Karşılığı: -LockoutDuration:"00:10:00"
2- Until an administrator manually unlocks the account: Kilitlenen bir hesabın kilidi, sistem yöneticisi açana kadar kilitli kalması sağlanmış olur.
• PowerShell Parametre Karşılığı: -LockoutObservationWindow:"00:10:00"

6- Oluşturduğum Fine Grained Password Policy (FGPP)'ye bir Active Directory Kullanıcı grubu atayarak, Policy'nin grup içindeki kullanıcılara atanmasını sağlamak için, aşağıdaki PowerShell komutunu yazıyorum.

Add-AdFineGrainedPasswordPolicySubject TestFGPP_POL01 -Subjects Managers

PowerShell İle Fine Grained Password Policy (FGPP) Oluşturma

PowerShell İle Fine Grained Password Policy (FGPP) Oluşturma

PowerShell İle Fine Grained Password Policy (FGPP) Oluşturma

PowerShell İle Fine Grained Password Policy (FGPP) Oluşturma işlemini tamamlamış olduk.

Faydalı olması dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim. 2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin en önde gelen entegratör firması olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum. Ek olarak, 2015 yılında Network Akademi bünyesinde Sistem ve Network Uzmanlık eğitimleri vermeye başladım ve 2017 yılında da eğitmenlik tecrübemi, Microsft Certified Trainer (MCT) ünvanı ile taçlandırdım. Eğitmenlik serüvenime 2021 yılından beri Bilge Adam bünyesinde MCT ünvanı ile devam etmekteyim.

YORUMLAR
Bu makaleye henüz yorum yapılmadı! İlk yorum yapan sen ol.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.