Políticas de senha de domínio: Configurando e auditando corretamente!

Por padrão, em todas as instalações do Active Directory, a Política de Domínio Padrão estabelece a política de senha de domínio (para todos os usuários configurados e armazenados no Active Directory). A imagem abaixo ilustra como essas configurações parecem e onde você pode encontrá-las na Política de Domínio Padrão.

O modo como a política de senha funciona é que este GPO e as configurações contidas neste GPO configuram os controladores de domínio (DCs) e os bancos de dados do Active Directory localizados neles. É responsabilidade dos DCs e bancos de dados localizados neles filtrar cada senha que é tentada ser gravada no banco de dados, para garantir que a senha atenda às configurações de política de senha.

Observação: usando a política de grupo, só pode haver uma política de senha para os usuários de domínio. Vincular e configurar um GPO para uma OU não irá configurar a diretiva de senha de forma diferente para os usuários nessa OU. As configurações de diretiva de senha afetam computadores (Veja a primeira imagem) e não contas de usuário!

O que você pode fazer é criar um novo GPO, vinculá-lo ao nível do domínio e dar-lhe maior precedência do que a diretiva de domínio padrão. As configurações neste novo GPO (por exemplo, você definir o comprimento mínimo da senha) substituirá as configurações na Política de Domínio Padrão devido à maior precedência. Você define precedência na ferramenta Gerenciamento de política de Grupo, que você pode ver na imagem a seguir.

Se você quiser ter várias políticas de senha no mesmo domínio, você precisa comprar um produto de terceiros ou pode usar as diretivas de senhas finas. Políticas de palavra-passe bem definidas são uma tecnologia da Microsoft para controlar políticas de palavra-passe, mas não utilizam a Política de grupo como mecanismo de implementação.

Para auditar a política de senha de domínio efetiva, você obviamente não pode simplesmente olhar para a Política de Domínio Padrão porque outro GPO vinculado ao domínio pode ter configurações de diretiva de senha diferentes contidas nele que substituirão a Política de Domínio Padrão. Então, como você verificar corretamente a política de senha eficaz para seus usuários de domínio armazenados em controladores de domínio?

A resposta é simples e uma ferramenta embutida! A ferramenta é secpol.msc e você pode executar isso em qualquer controlador de domínio a partir do prompt de comando ou o botão Iniciar | Pesquisar programas e arquivos caixa. A imagem a seguir ilustra o aspecto do resultado.

Usando a ferramenta secpol.msc, você pode verificar com 100% de confiança quais são as atuais configurações de diretiva de senha para seus usuários de domínio.
Venha conhecer melhor o ADSelfService Plus e o ADAudit Plus da ManageEngine e realizar os trinta dias de testes, contando sempre com o apoio da equipe ACSoftware seu Distribuidor e Revenda ManageEngine no Brasil

Fone (11) 4063 1007 – Vendas (11) 4063 9639

Deixe um comentário