среда, 30 мая 2007 г.

Хорошие новости о политиках безопасности и паролях в W2k8

Пожалуй, пора начинать писать те крохи интересного, которые мне становятся известными о Longhorn (ничего, если я буду продолжать его называть так?). Крохи потому, что никак не дойдут руки потрогать, что он из себя представляет.

Первое, чего очень не хватало в прежних версиях Windows Server: есть ли кто-нибудь, кто не проклинал отсутствие возможности в одном домене указать несколько разных политик паролей для разных членов домена? Я думаю, что таких людей мало. В итоге, приходилось либо задавать в домене более слабые политики, чем хотелось бы, либо заставлять несчастных пользователей, которым это, в принципе, не особенно было нужно, запоминать длинные и сложные пароли, либо вводить второй домен для подразделений с другими требованиями безопасности, либо пользоваться другими средствами (smartcards , например). Не очень хорошо и не очень удобно, не так ли? Так вот, в Windows Server 2008 проблема вроде решена. Правда, не совсем так, как я ожидал.

Сначала, пожалуй, о решении, а потом о моих ожиданиях. =) Собственно, для осуществления данной фичи в Active Directory были введены новые объекты:

  • Password Settings
  • Password Settings Container

Password Settings Containers содержат в себе Password Settings Objects, которые содержат различные параметры (срок жизни пароля, требовать или нет сложный пароль и т.д.). Для существования таких возможностей domain functional level должен быть Windows Server 2008 (кто-то сомневался? ;) ). А теперь о неожиданностях. Новые политики паролей применяются к… нет, не Organizational Units. Они применяются к пользователям и глобальным группам безопасности. У политик есть приоритет, чем выше приоритет (а на самом деле, чем ниже значение атрибута msDS-PasswordSettingsPrecedence), тем выше приоритет политики. То есть если пользователь входит в несколько групп с назначенными политиками и/или ему самому назначена политика, то применяться будет та, у которой выше приоритет (ниже указанный атрибут).

Каковы минусы такой фичи? Из-за того, что применяются политики не к OU, а к группам/пользователям, политики не накладываются друг на друга, а, вместо этого, применяется лишь одна. Из этого следует, что в каждой политике должны быть определены все параметры (их 9). Каковы плюсы? Собственно, мы наконец-то получаем некую гибкость политик паролей в пределах одного домена – чего еще желать? =)

Комментариев нет: