Políticas de senha da Microsoft: Políticas baseadas em GPO vs. Fine Grained Policies

A Microsoft tem duas soluções para implantar os requisitos de senhas para usuários do domínio do Active Directory. Os requisitos, conhecidos como política de senhas, podem ser implementados por Group Policy Objects (GPOs) ou por objetos do Active Directory chamados Fine Grained Password Policies (FGPPs). Ambas as soluções têm a mesma lista de restrições, como o comprimento mínimo da senha e a idade máxima da senha, mas os detalhes em torno da implementação são radicalmente diferentes.

A implantação de uma política de senha usando um GPO é a solução mais antiga, já que que foi introduzida quando o Active Directory foi lançado em 2000. Por padrão, a política de senha é configurada no Default Domain Policy, que está vinculada ao nó do domínio. A figura 1 ilustra o que a política de senhas tem sido nos últimos dez anos ou mais.

Figura 1: Configurações de política de senha na política de domínio padrão.

Embora a política de senha possa ser configurada em qualquer GPO e vinculada a qualquer nó no Active Directory, as únicas configurações de políticas de senha que serão aplicadas aos usuários de domínio estarão em GPOs vinculados ao domínio, contendo configurações de diretiva de senha e com a prioridade mais alta. Portanto, pode haver somente uma política de senha para todos os usuários de domínio em um único domínio. Para ver a política de senha resultante, você pode executar secpol.msc a partir da linha de comando de qualquer um dos controladores de domínio no seu domínio. O resultado pode ser visto na figura 2:

Figura 2: Política de senha resultante implementada usando um GPO como mostrado pelo comando secpol.msc.

FGPPs, por outro lado, não são implementadas usando um GPO de qualquer forma. Em vez disso, FGPPs são definidos dentro do Active Directory criando um contêiner de configurações de senha. Isso pode ser feito usando ADSIEdit.msc de um controlador de domínio no domínio. Você pode ver o contêiner de configurações de senha na Figura 3.

Figura 3: O container de configurações de senha  permite a criação de FGPPs.

Clicar com o botão direito do mouse no contêiner de configurações de senha permite que você crie um novo objeto, que então orienta você através de um assistente que ajuda a definir as configurações. As configurações para FGPPs são as mesmas que para a política de senha implantada por meio de um GPO (Veja a figura 2 para essas configurações), mas em vez de modificar diretamente cada configuração, o assistente solicita que você faça cada configuração.

Pode haver mais de um FGPP, permitindo mais de uma política de senha para usuários de domínio no mesmo domínio. Para segmentar quais usuários recebem o FGPP apropriado, o atributo msDS-PSOAppliesTo do objeto FGPP recém-criado precisa ser configurado com o grupo apropriado. Mais de um grupo pode receber um único FGPP. Se houver um usuário que não recebe um FGPP através de associação de grupo, a política de senha implantada por meio do GPO vinculado ao domínio será aplicada a esse usuário. Cada FGPP tem uma configuração de prioridade, portanto, se um usuário faz parte de mais de um grupo listado com o atributo msDS-PSOAppliesTo no FGPPs, o usuário receberá apenas as configurações de senha contidas no FGPP de prioridade mais alta para o qual um grupo em que eles têm associação é listado.

Algumas notas para explicar:

  1. Só pode haver uma política de senha se você usar as configurações de políticas de senha em um GPO.
  2. Nenhuma configuração adicional pode ser configurada para a diretiva de senha, exceto aquelas listadas na Figura 2.
  3. Um novo filtro de diretiva de senha pode ser criado e implementado para o domínio, mas isso requer desenvolvimento e configuração significativos.
  4. Os FGPPs não fornecem quaisquer controles de diretiva de senha adicionais além dos listados na Figura 2.

Como você pode ver, ambas as soluções da Microsoft, mesmo sendo eficazes são um pouco confusas. Se você quiser mais do que as configurações de política de senha básica, você precisará examinar outras soluções.

Agora imagine se você pudesse fazer a configuração de política de senhas de forma fácil, centralizada e ainda pudesse definir políticas diferentes para OUs diferentes rapidamente? Lhes apresento o ADSelfService Plus.

ADSelfService Plus é uma solução que permite que seus usuários com contas no AD possam se autoatender, realizando o reset /alteração de senha, desbloqueio de conta e também atualizar suas informações. Você poderá criar políticas complexas de senha para que fiquem de acordo com as políticas da sua empresa. Essas políticas trabalharão em conjunto com as políticas definidas no seu AD e seu usuário final não será capaz de trocar a senha caso a nova senha não atenda essas políticas.

Com essa solução você poderá criar políticas, por domínio e por OU, definido o que esses usuários poderão realizar através da solução.

Após configurar as políticas acima, você será capaz de configurar o reforço de senha, definindo a complexidade que essas senhas deverão atender. E essa configuração é configurada por cada política criada anteriormente. Por exemplo, você pode definir que a complexidade de senhas dos usuários da OU ‘Users’ deve ser maior do que as dos usuários da OU ‘Users2’ e assim por diante.

Venha conhecer melhor o ADSelfService Plus da ManageEngine e realizar os trinta dias de testes, contando sempre com o apoio da equipe ACSoftware seu Distribuidor e Revenda ManageEngine no Brasil
Fone (11) 4063 1007 – Vendas (11) 4063 9639

Deixe um comentário

Blog ACSoftware - ManageEngine