2.1 Serviceverificatie en accountbeleid configureren

Veel apps en services die u op Windows Server installeert, worden uitgevoerd in de beveiligingscontext van een gebruikersaccount, ook wel een serviceaccount genoemd. Net als alle gebruikersaccounts is het belangrijk dat deze serviceaccounts niet worden aangetast. Windows Server 2016 biedt Managed Service Accounts (MSA’s) en Group Managed Service Accounts (gMSA’s) waarmee u serviceaccounts gemakkelijker kunt beheren.

Met accountbeleid kunt u fundamentele beveiligingsfuncties beheren, zoals wachtwoordcomplexiteit, lengte, vervaldatum en blokkering. U kunt deze functies gebruiken om uw netwerk en de apps en services die erop draaien te beveiligen.

2.1.1 MSA’s en gMSA’s maken en configureren

In eerdere versies van Windows Server was het gebruikelijk om standaardgebruikersaccounts te maken om apps of services uit te voeren. U kunt bijvoorbeeld een gebruikersaccount met de naam E-mail maken en het door u geïnstalleerde e-mailprogramma configureren om te worden uitgevoerd in de context van het e-mailgebruikersaccount.

Het op deze manier gebruiken van standaardgebruikersaccounts brengt enkele overwegingen met zich mee, waaronder:

  • Accountwachtwoordbeheer – Het wachtwoord voor deze standaardgebruikersaccounts moet periodiek worden gewijzigd om de veiligheid van uw apps en services te behouden. Als u het accountwachtwoord niet wijzigt, leidt dit tot een storing in uw apps of service.
  • Namen van service-principals – Service-principal-namen (SPN’s) zijn unieke id’s voor een specifieke service-instantie en worden gebruikt om een service-instantie aan een serviceaccount te koppelen. Als u een standaardgebruikersaccount met SPN’s gebruikt, kan dit leiden tot extra administratieve inspanning en mogelijke authenticatieproblemen die kunnen leiden tot app-storingen.

Een mogelijke oplossing is om het lokale systeem (NT AUTHORITY\SYSTEM), de lokale serviceaccounts (NT AUTHORITY\LOCAL SERVICE) of de netwerkserviceaccounts (NT AUTHORITY\NETWORK SERVICE) te gebruiken om uw app te configureren. Deze drie accounts bieden echter mogelijk niet voldoende beveiliging en hebben in veel situaties niet voldoende bevoegdheden.

Windows Server 2016 biedt zowel MSA’s als gMSA’s om u te helpen deze problemen op te lossen:

  • MSA’s – In tegenstelling tot standaardgebruikersaccounts erven MSA’s een deel van hun structuur van computerobjecten, inclusief de manier waarop wachtwoordwijzigingen worden verwerkt. Dit levert de volgende voordelen op:
    • Automatisch wachtwoordbeheer
    • Vereenvoudigd SPN-beheer
  • gMSA’s – Hiermee kunt u de functie van MSA’s uitbreiden naar meerdere servers in uw AD DS-domein. Dit is handig wanneer u load balancing gebruikt. Om gMSA’s te gebruiken, moet uw AD DS-omgeving aan de volgende vereisten voldoen:
    • Clientcomputers moeten minimaal Windows 8 hebben
    • U moet een KDS-hoofdsleutel (Key Distribution Services) voor uw domein maken
    • Op ten minste één domeincontroller moet Windows Server 2012 of later worden uitgevoerd

Examentip

MSA’s worden opgeslagen in de container Managed Service Accounts in uw AD DS-domein. Om deze accounts te bekijken, schakelt u in Active Directory: gebruikers en computers de weergave Geavanceerde functies in.

Wanneer u een gMSA maakt, moet u de verzameling computers definiëren die wachtwoordgegevens van AD DS kunnen ophalen. Dit kan een lijst met computerobjecten zijn of een AD DS-groep die de gewenste computerobjecten bevat.

In Windows Server 2016 gebruikt u dezelfde Windows PowerShell-cmdlets om gMSA’s te maken en te beheren als MSA’s. Dit betekent dat in Windows Server 2016 alle MSA’s worden beheerd als gMSA’s. Om gMSA’s te maken, begint u met het maken van de KDS-rootsleutel. Gebruik op een domeincontroller de volgende Windows PowerShell-cmdlet om deze taak te voltooien:

Add-KdsRootKey –EffectiveImmediately

Examentip

Hoewel de parameter EffectiveImmediately AD DS instrueert om de vereiste wijziging onmiddellijk door te voeren, wordt de sleutel pas na 10 uur van kracht. Dit is om AD DS in staat te stellen de wijziging in uw forest te repliceren.

Nadat u de KDS-hoofdsleutel hebt gemaakt, gebruikt u de Active Directory Module voor Windows PowerShell new-ADServiceAccount-cmdlet vanaf een willekeurige domeincontroller om uw gMSA’s te maken. Bijvoorbeeld:

New-ADServiceAccount –Name LON-IIS-GMSA –DNSHostname LON-DC1.Adatum.com – PrincipalsAllowedToRetrieveManagedPassword LON-DC1$, LON-DC2$, LON-IIS$

Gebruik de parameter PrincipalsAllowedToRetrieveManagedPassword om te definiëren welke computers of groepen toegang hebben tot de gMSA-wachtwoordeigenschappen.

Wanneer u uw nieuwe gMSA hebt gemaakt, moet u deze koppelen aan de servercomputers waarop deze zal worden gebruikt. Gebruik hiervoor de Active Directory-module voor Windows PowerShell Add-ADComputerServiceAccount cmdlet om deze taak te voltooien. Bijvoorbeeld:

Add-ADComputerServiceAccount –identity LON-DC1 –ServiceAccount LON-IIS-GMSA

Vervolgens moet u de gMSA installeren op de servers waar deze gebruikt gaat worden. Gebruik de cmdlet Install-ADServiceAccount. Bijvoorbeeld:

Install-ADServiceAccount -Identity LON-IIS-GMSA

Configureer ten slotte de vereiste service of app om de geconfigureerde gMSA te gebruiken. Gebruik de volgende procedure om de taak te voltooien:

  1. Klik op de doelserver(s) in Serverbeheer op Extra en vervolgens op Services.
  2. Zoek de juiste service, dubbelklik erop en klik vervolgens op het tabblad Aanmelden, weergegeven in Afbeelding 2-1, op Dit account en typ de naam van uw account. Typ bijvoorbeeld ADATUM\LON-IIS-GMSA.
  3. Schakel de selectievakjes Wachtwoord en Wachtwoord bevestigen uit en klik op OK.
AFBEELDING 2-1 Een service account configureren

1.1.2 SPN’s beheren

SPN’s lijken qua concept op Domain Name System (DNS) aliasrecords (CNAME’s), maar in plaats van een verwijzing te zijn naar een computerrecord in een DNS-zone, verwijzen SPN’s naar domeinaccounts.

SPN’s worden gebruikt door Kerberos, het verificatieprotocol in Windows Server 2016 AD DS-domeincontrollers. Ze koppelen een service aan een service-aanmeldingsaccount, waardoor een clientcomputer-app de service kan vragen om een account te verifiëren, zelfs als de client-app de accountnaam niet kent. Voordat Kerberos SPN’s kan gebruiken, moeten services hun SPN’s registreren in AD DS.

SPN’s bestaan uit verschillende elementen en moeten uniek zijn binnen uw AD DS-forest. Deze elementen zijn:

  • Serviceklasse – Identificeert de klasse van een service. Bijvoorbeeld www voor een webserver. Er zijn verschillende bekende serviceklassen.
  • Host –  computernaam waarop de service draait. Meestal is dit een volledig gekwalificeerde domeinnaam (FQDN), zoals LON-SVR2.Adatum.com.
  • Poort – Optneel gebruikt om het poortnummer te identificeren dat door een service wordt gebruikt. Hiermee kunt u onderscheid maken tussen meerdere exemplaren van dezelfde services die op een specifieke computer zijn geïnstalleerd. Een beveiligde website gebruikt bijvoorbeeld TCP-poort 443.
  • Servicenaam – Een optioneel element dat is gebaseerd op de DNS-naam van het domein of van een service locator (SRV) of Mail Exchanger (MX) record binnen het domein. Dit element identificeert services die domeinbreed zijn.

Dit creëert een SPN bestaande uit deze elementen:

<service class>/<host>:<port>/<service name>

Bijvoorbeeld:

WebService/LON-SVR2.Adatum.com:443

Over het algemeen is er weinig beheer van SPN’s vereist. Maar af en toe kan het zijn dat u de registratie moet forceren. U kunt het opdrachtregelprogramma Setspn.exe gebruiken om SPN’s te registreren.

EXAMEN TIP

Het gebruik van gMSA’s verkleint aanzienlijk de kans dat u SPN’s handmatig opnieuw moet configureren.

Om bijvoorbeeld een SPN voor IIS op LON-SVR2 in het Adatum.com-domein te registreren met behulp van de LON-IIS-GMSA-groep MSA, gebruikt u de volgende opdracht, zoals weergegeven in Afbeelding 2-2.

setspn -A WebService/lon-svr2.adatum.com:433 lon-iis-gmsa
AFBEELDING 2-2 Een SPN toevoegen

1.1.3 Configureer beperkte Kerberos-delegatie

In sommige situaties kunnen apps of services verbindingen maken met externe apps of services die op andere servercomputers zijn geïnstalleerd. In wezen worden deze verbindingen gemaakt namens clientcomputers die verbinding maken met de oorspronkelijke app of service.

Dit scenario doet zich meestal voor wanneer een front-endservice communiceert met een back-endservice namens gebruikers op clientcomputers met behulp van de back-end-app. Om dit scenario te ondersteunen, is het noodzakelijk om authenticatiedelegatie te gebruiken; dit is het proces waarbij de verificatieautoriteit (in Windows Server 2016 is dit een domeincontroller) een service toestaat om namens een andere service te handelen. Het probleem is dat er in eerdere versies van Windows Server geen manier is om te voorkomen dat de delegatie wordt uitgebreid naar een derde of zelfs vierde service. Beperkte Kerberos-delegatie in Windows Server 2016 voorkomt dit.

Als u beperkte overdracht wilt configureren om een front-end-app namens gebruikers toegang te geven tot een back-endservice, moet u een van de volgende cmdlets gebruiken voor de beveiligingsprincipal die uw front-endservice uitvoert:

  • Get-ADUser
  • Get-ADComputer
  • Get-ADServiceAccount

Geef vervolgens dat security-principal-object door als argument met behulp van de parameter PrincipalsAllowed-ToDelegateToAccount met een van de volgende Windows PowerShell-cmdlets:

  • Set-ADUser
  • Set-ADComputer
  • Set-ADServiceAccount

Bijvoorbeeld:

$computer = Get-ADComputer-Identity WEBSVR1
Set-ADComputer LON-SVR2 -PrincipalsAllowedToDelegateToAccount $computer

1.1.4 Configureer virtuele accounts

U kunt geen wachtwoorden voor virtuele accounts maken, verwijderen of beheren. Ze bestaan automatisch en zijn een representatie van het lokale computeraccount wanneer ze worden gebruikt om toegang te krijgen tot apps of bronnen.

Gebruik de volgende procedure om een service te configureren voor het gebruik van een virtueel account:

  1. Klik in Serverbeheer op Tools en klik vervolgens op Services.
  2. Zoek de juiste service, dubbelklik erop en klik vervolgens op het tabblad Aanmelden, weergegeven in Afbeelding 2-3, op Dit account en typ vervolgens de naam van uw account. Typ bijvoorbeeld NT SERVICE\LON-SVR2$.
  3. Schakel de selectievakjes Wachtwoord en Wachtwoord bevestigen uit en klik op OK.
AFBEELDING 2-3 Een virtueel account voor een service configureren

1.1.5 Accountbeleid configureren

Met accountbeleid kunt u wachtwoordgerelateerde instellingen configureren, waaronder het wachtwoordbeleid, accountvergrendelingsinstellingen en Kerberos-beleidsinstellingen. Deze instellingen zijn toegankelijk via het standaarddomeinbeleid in de Groepsbeleidsbeheer-editor.

Gebruik de volgende procedure om deze instellingen te bekijken en te configureren:

  1. Klik in Serverbeheer op Extra en klik vervolgens op Groepsbeleidsbeheer.
  2. Vouw in Groepsbeleidsbeheer uw forest uit, vouw de map Domeinen uit en vouw het domein uit dat u wilt configureren.
  3. Klik op de map Groepsbeleidsobjecten en vervolgens in het detailvenster, zoals weergegeven in de afbeelding 2-4, klik met de rechtermuisknop op Standaarddomeinbeleid en klik vervolgens op Bewerken.
  4. Vouw in de Groepsbeleidsbeheer-editor onder het knooppunt Standaarddomeinbeleid Computerconfiguratie uit, vouw Beleid uit, vouw Windows-instellingen uit, vouw Beveiligingsinstellingen uit en klik vervolgens op Accountbeleid, zoals weergegeven in Afbeelding 2-5.
AFBEELDING 2-4 Beschikbare standaardgroepsbeleidsobjecten bekijken

1.1.5.1 Configureer instellingen voor domein- en wachtwoordbeleid voor lokale gebruikers

Met wachtwoordbeleid kunt u instellingen definiëren die bepalen hoe de wachtwoorden van uw domeingebruikers worden beheerd. Om domeinwachtwoordbeleidsinstellingen te configureren, kunt u in de Groepsbeleidsbeheer-editor, onder de map Accountbeleid, in de map Wachtwoordbeleid, weergegeven in Afbeelding 2-6, de volgende wachtwoordinstellingen configureren:

  • Wachtwoordgeschiedenis afdwingen – Voorkomt dat gebruikers wachtwoorden hergebruiken. De standaardwaarde is 24.
  • Maximale wachtwoordleeftijd – Zorgt ervoor dat gebruikers hun wachtwoord wijzigen binnen de gedefinieerde periode. Standaard is 42 dagen.
  • Minimale wachtwoordleeftijd – Voorkomt dat gebruikers hun wachtwoord wijzigen totdat deze periode is verstreken. Helpt voorkomen dat gebruikers door een reeks wachtwoorden terug naar hun favoriete wachtwoord gaan door hun wachtwoord 24 keer zeer snel te wijzigen. De standaardwaarde is één dag.
  • Minimale wachtwoordlengte – Zorgt ervoor dat wachtwoorden niet te kort zijn. Langere wachtwoorden zijn moeilijker te raden, vooral als er ook complexe wachtwoorden worden afgedwongen. Standaard is zeven tekens.
  • Wachtwoord moet voldoen aan complexiteitsvereisten – Helpt ervoor te zorgen dat wachtwoorden moeilijker te raden zijn. Standaard ingeschakeld. Indien ingeschakeld, moeten wachtwoorden aan verschillende complexiteitsvereisten voldoen:
    • Mag geen gebruikersnaam of gebruikersnaam van hun account bevatten
    • Moet minimaal zes tekens bevatten
    • Moet tekens bevatten uit ten minste drie van de volgende vier groepen:
    • Hoofdletters [A–Z]
    • Kleine letters [a–z]
    • Cijfers [0–9]
    • Speciale, niet-alfanumerieke tekens, zoals !@#)(*&^%
  • Wachtwoorden opslaan met behulp van omkeerbare codering – Biedt ondersteuning voor oudere apps die kennis van het wachtwoord van een gebruiker vereisen. In veel gevallen is het opslaan van wachtwoorden met behulp van omkeerbare codering hetzelfde als het opslaan van wachtwoorden in leesbare tekst en moet worden vermeden, tenzij absoluut noodzakelijk. Dit is standaard uitgeschakeld.
AFBEELDING 2-6 Het domeinwachtwoordbeleid bewerken

EXAMEN TIP

U kunt individuele gebruikersaccounts inschakelen om wachtwoorden op te slaan met behulp van omkeerbare codering, indien nodig.

Voor computers in een werkgroep kunt u een lokaal accountbeleid configureren. Om lokaal wachtwoordbeleid te configureren, klikt u op de doelcomputer in Serverbeheer op Extra en vervolgens op Lokaal beveiligingsbeleid. Vouw Accountbeleid uit en klik, zoals weergegeven in Afbeelding 2-7, op Wachtwoordbeleid. U kunt ook een lokaal accountvergrendelingsbeleid configureren.

AFBEELDING 2-7 Het lokale wachtwoordbeleid bewerken

EXAMEN TIP

Instellingen die u configureert in het lokale beveiligingsbeleid worden overschreven door instellingen die zijn geconfigureerd in het domeinbeveiligingsbeleid voor servercomputers die deel uitmaken van een AD DS-domein.

1.1.5.2 Accountvergrendelingsbeleidinstellingen configureren

Accountvergrendelingsinstellingen bepalen wat er gebeurt als een gebruiker een onjuist wachtwoord invoert. Als het account van een gebruiker is vergrendeld, kan deze niet inloggen totdat zijn account is ontgrendeld. In de map Accountvergrendelingsbeleid, weergegeven in Afbeelding 2-8, kunt u de volgende vergrendelingsinstellingen configureren:

  • Accountvergrendelingsduur – Definieert de vergrendelingsduur in minuten. Nadat een account is vergrendeld en deze periode is verstreken, wordt het account automatisch ontgrendeld. Een beheerder kan het account op elk moment handmatig ontgrendelen. Om altijd handmatige ontgrendeling te gebruiken, stelt u de vergrendelingsduur in op 0. Standaard is deze instelling niet ingeschakeld.
  • Accountvergrendelingsdrempel – Bepaalt hoeveel onjuiste aanmeldingspogingen een gebruiker kan doen voordat zijn account wordt vergrendeld. Standaard wordt een waarde van 0 toegekend; dit schakelt accountvergrendeling effectief uit.
  • Accountvergrendelingsteller resetten na – Bepaalt hoeveel minuten er moeten verstrijken voordat de accountvergrendelingsdrempel wordt gereset. Gebruikt in combinatie met de drempelwaarde voor accountvergrendeling, kunt u effectief een systeemgevoeligheid configureren voor onjuiste wachtwoorden. Als u bijvoorbeeld een waarde van 5 configureert in combinatie met een accountvergrendelingsdrempel van 2, betekent dit dat elke twee onjuiste wachtwoorden in een periode van vijf minuten het account vergrendelen. Als u deze waarde wijzigt in 30, wordt het systeem gevoeliger omdat het account wordt vergrendeld na twee onjuiste aanmeldingspogingen in een periode van 30 minuten. Deze instelling is standaard niet ingeschakeld.

Om een account handmatig te ontgrendelen, opent u de eigenschappen van het gebruikersaccount in Active Directory: gebruikers en computers. Schakel op het tabblad Account, weergegeven in Afbeelding 2-9, het selectievakje Account ontgrendelen in en klik vervolgens op OK.

AFBEELDING 2-8 Het accountvergrendelingsbeleid bewerken
AFBEELDING 2-9 Een account ontgrendelen

1.1.5.3 Configureer Kerberos-beleidsinstellingen

Kerberos biedt de authenticatiearchitectuur voor Windows Server 2016. Wanneer gebruikers zich aanmelden, ontvangen ze een Kerberos-ticket dat een ticket toekent van een domeincontroller. Wanneer een gebruiker

probeert verbinding te maken met een server, ontvangen ze een serviceticket. Met de Kerberos-beleidsinstellingen kunt u aspecten van het afhandelen en verlengen van tickets beheren. In de map Kerberos Policy, weergegeven in figuur 2-10, kunt u de volgende Kerberos-instellingen configureren:

  • Gebruikersaanmeldingsbeperkingen afdwingen – Dwingt domeincontrollers om aanvullende validatie uit te voeren op het rechtenbeleid van een gebruiker, waardoor de beveiliging wordt vergroot. De standaardwaarde is ingeschakeld.
  • Maximale levensduur voor serviceticket – Definieert de maximale leeftijd van een serviceticket van een gebruiker. Moet minimaal 10 minuten duren en mag niet langer zijn dan de maximale levensduur van een gebruikersticket. De standaardwaarde is 600 minuten.
  • Maximale levensduur voor gebruikersticket – Bepaalt de maximale leeftijd van een gebruikersticket dat een ticket toekent. De standaardwaarde is 10 uur.
  • Maximale levensduur voor gebruikersticketvernieuwing – Bepaalt hoe lang een gebruiker zijn ticketverlenende ticket kan verlengen. De standaard is 7 dagen.
  • Maximale tolerantie voor computerkloksynchronisatie – Bepaalt de gevoeligheid voor een verschil tussen de tijd van de clientcomputer en die van de domeincontroller. De standaardwaarde is vijf minuten.
AFBEELDING 2-10 Het Kerberos-beleid bewerken

EXAMEN TIP

De domeincontroller die de primaire domeincontroller (PDC)-emulatorbewerkingsmasterrol heeft, is de tijdbron voor het domein.

1.1.6 Wachtwoordinstellingenobjecten configureren en toepassen

U kunt alleen accountbeleid configureren voor uw domein; u kunt geen apart beleid configureren voor organisatie-eenheden (OE’s) binnen uw domein. In vroege versies van Windows Server betekende de noodzaak om een ander accountbeleid te configureren voor bedrijfsgroepen of geografische locaties vaak dat er meerdere domeinen binnen het AD DS-forest moesten worden geconfigureerd.

In Windows Server 2016 kunt u echter meerdere accountbeleidsregels implementeren met behulp van Password Settings Objects (PSO’s). Met behulp van PSO’s kunt u accountbeleid implementeren en configureren dat van invloed is op gebruikers en groepen in plaats van alleen op containers, wat betekent dat u meer gerichte administratieve controle heeft.

EXAMEN TIP

PSO’s zijn geïntroduceerd in Windows Server 2008.

Naast PSO’s maakt Windows Server 2016 een container met de naam Password Settings Container; hierin worden de PSO’s opgeslagen die u maakt en toepast in uw domein.

EXAMEN TIP

U kunt PSO’s alleen toepassen op gebruikers, InetOrgPerson-objecten en globale beveiligingsgroepen. Als u een PSO op een OE wilt toepassen, maakt u een schaduwgroep en past u de PSO op die groep toe. Een schaduwgroep is een globale beveiligingsgroep die u handmatig maakt en alle gebruikers in een OE toevoegt aan de ledenlijst van de schaduwgroep.

Om PSO’s te implementeren, moet u de PSO aanmaken en vervolgens koppelen aan het juiste gebruikers- of groepsobject. Gebruik bijvoorbeeld de volgende algemene procedure om een strenger wachtwoordbeleid voor beheerdersaccounts te configureren:

  1. Maak een wereldwijde beveiligingsgroep Secure Admins.
  2. Voeg de vereiste gebruikersaccounts toe aan de groep.
  3. Maak een PSO aan en koppel deze aan de groep Secure Admins.

Koppelt u meerdere PSO’s aan één object, dan gelden de volgende voorrangsregels:

  • Als er geen PSO’s aan een gebruiker zijn gekoppeld, past Windows Server AD DS de Standaard Domeinbeleid Accountbeleid-instellingen toe.
  • Als u een PSO rechtstreeks aan een gebruikersobject koppelt, heeft die PSO voorrang op eventuele PSO’s die zijn gekoppeld aan groepen waarvan de gebruiker lid is.
  • Als u PSO’s aan groepen koppelt, vergelijkt AD DS de PSO’s voor alle globale beveiligingsgroepen waarvan het gebruikersobject lid is.

EXAMEN TIP

Als u meerdere PSO’s direct aan een gebruikersobject of groepsobject koppelt, wordt de PSO met de laagste prioriteitswaarde toegepast. Het PSO-attribuut msDS-PasswordSettingsPrecedence bevat de prioriteitswaarde.

Hoewel de instellingen in een PSO identiek zijn aan het wachtwoordbeleid dat u toepast in het Standaarddomeinbeleid, gebruikt u de Groepsbeleidsbeheer-editor niet om ze te configureren of toe te passen. In plaats daarvan gebruikt u Windows PowerShell of de Active Directory Beheercentrum-console.

EXAMEN TIP

Uw AD DS-domeinfunctionaliteitsniveau moet minimaal Windows Server 2008 zijn om PSO’s te ondersteunen.

1.1.6.1 PSO’s maken met Windows PowerShell

Gebruik de volgende twee cmdlets om PSO’s te maken en toe te passen met Windows PowerShell:

  • New-ADFineGrainedPasswordPolicy – Maakt de PSO en wijst de eigenschappen toe die u definieert met behulp van cmdlet-parameters, weergegeven in Tabel 2-1.
  • Add-FineGrainedPasswordPolicySubject – Koppelt de PSO aan de gebruiker of groep die u definieert met behulp van de cmdlet-parameters.

Zoals weergegeven in afbeelding 2-11, maken en koppelen de volgende opdrachten een nieuwe PSO met de naam Admins aan de globale beveiligingsgroep Secure Admins:

New-ADFineGrainedPasswordPolicy Admins -ComplexityEnabled:$true -LockoutDuration:”00:45:00” -LockoutObservationWindow:”00:45:00” -LockoutThreshold:”0” -MaxPasswordAge:”24.00:00:00” -MinPasswordAge:”2.00:00:00” -MinPasswordLength:”8” -PasswordHistoryCount:”30” -Precedence:”1” -ReversibleEncryptionEnabled:$false -Protecte dFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject Admins -Subjects “Secure Admins”
AFBEELDING 2-11 Een PSO maken en toepassen met Windows PowerShell
InstellingFormaat
ComplexityEnabledTrue of FalseBepaalt of complexe wachtwoorden worden afgedwongen.
MinPasswordLengthIntegerDefinieert de minimale lengte van wachtwoorden.
MaxPasswordAgeTijd: dd.hh:mm:ssBepaalt het maximum aantal dagen voordat gebruikers hun wachtwoord moeten wijzigen.
MinPasswordAgeTijd: dd.hh:mm:ssBepaalt de minimale hoeveelheid tijd die moet verstrijken voordat gebruikers hun wachtwoord kunnen wijzigen.
PasswordHistoryCountIntegerSpecificeert het aantal wachtwoordwijzigingen dat moet plaatsvinden voordat wachtwoorden opnieuw kunnen worden gebruikt.
ReversibleEncryptionEnabledTrue of FalseDefinieert of omkeerbare codering is toegestaan.
InstellingFormaatBeschrijving
LockoutThresholdIntegerSpecificeert het aantal onjuiste wachtwoordtekens
LockoutObservationWindowTijd: dd.hh:mm:ssBepaalt hoeveel minuten er moeten verstrijken voordat de accountvergrendelingsdrempel wordt gereset.
LockoutDurationTijd: dd.hh:mm:ssGeeft aan hoe lang het account wordt vergrendeld voordat het automatisch wordt ontgrendeld.
InstellingFormaatBeschrijving
PrecedenceIntegerBepaalt hoe meerdere PSO’s gekoppeld aan hetzelfde object van toepassing zijn.
PSOAppliedLijst met DN-namenBepaalt voor welke gebruikers of globale beveiligingsgroepen de PSO moet gelden.
ProtectedFromAccidentalDeletionTrue of FalseGeeft aan of de PSO moet worden beschermd tegen onbedoeld verwijderen.
TABEL 2-1 PSO-instellingen

1.1.6.2 PSO’s maken met het Active Directory-beheercentrum

Gebruik de volgende procedure om PSO’s te maken en te koppelen met behulp van de Active Directory Beheercentrum-console:

  1. Klik in het Active Directory-beheercentrum op Beheren, klik op Navigatieknooppunten toevoegen, selecteer in het dialoogvenster Navigatieknooppunt toevoegen het juiste doeldomein, klik op de knop >> en klik vervolgens op OK, zoals weergegeven in Afbeelding 2-12.
  2. Vouw in het navigatievenster uw domein uit, klik op de systeemcontainer en klik vervolgens op de wachtwoordinstellingencontainer, zoals weergegeven in afbeelding 2-13. Druk op Enter.
  3. Klik in het taakvenster op Nieuw en klik vervolgens op Wachtwoordinstellingen.
  4. Configureer in het dialoogvenster Wachtwoordinstellingen maken: de vereiste instellingen voor de nieuwe PSO, zoals weergegeven in Afbeelding 2-14.
  5. Klik onder de kop Rechtstreeks op van toepassing op Toevoegen en typ in het dialoogvenster Gebruikers of groepen selecteren de naam van de juiste gebruiker of groep, zoals weergegeven in Afbeelding 2-15, en klik vervolgens op OK.
  6. Klik op OK.
AFBEELDING 2-12 Een navigatieknooppunt toevoegen
AFBEELDING 2-13 De container Wachtwoordinstellingen selecteren
AFBEELDING 2-14 Een nieuwe PSO aanmaken
AFBEEDLING 2-15 Selectie van de groep waaraan de PSO is gekoppeld

1.1.7 Delegate password settings management

Om het beheer van wachtwoordinstellingen te delegeren, kunt u de volgende Delegate Control Wizard gebruiken in Active Directory: gebruikers en computers, zoals beschreven in de volgende procedure:

  1. Zoek in Active Directory: gebruikers en computers de juiste OE, klik er met de rechtermuisknop op en klik vervolgens op Besturing delegeren.
  2. Klik in de wizard Delegatie van beheer op de welkomstpagina op Volgende.
  3. Klik op de pagina Gebruikers of groepen op Toevoegen en zoek de gebruiker of groep waaraan u het beheer van wachtwoordinstellingen wilt delegeren. Klik op OK en klik vervolgens op Volgende.
  4. Schakel op de pagina Te delegeren taken, weergegeven in Afbeelding 2-16, in de lijst Delegeer de volgende veelvoorkomende taken het selectievakje Gebruikerswachtwoorden opnieuw instellen en wachtwoordwijziging forceren bij volgende aanmelding in en klik op Volgende. Klik op Voltooien wanneer daarom wordt gevraagd.
AFBEELDING 2-16 Beheer van wachtwoordinstellingen delegeren

Het delegeren van beheerfuncties wordt uitgebreid behandeld in Hoofdstuk 1: Active Directory Domain Services installeren en configureren, Vaardigheid 1.3: Active Directory-groepen en OU’s aanmaken en beheren, in de sectie Beheer van Active Directory delegeren met groepen en OU’s.