Supponiamo di voler assegnare tali impostazioni a tutti gli utenti che fanno parte del gruppo GRP_Marketing (creato negli articoli precedenti all'intero del nostro dominio nell'unità organizzativa Marketing). Vediamo come è possibile effettuare l'operazione tramite il Centro di amministrazione di Active Directory e PowerShell.
Assegnare ad un gruppo restrizioni sulla password (PSO) tramite Centro di amministrazione di Active Directory
- Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory - Selezionare il proprio dominio quindi cliccare sulla UO Marketing, selezionare il gruppo GRP_Marketing, cliccarci su con il tasto destro del mouse e selezionare Proprietà dal menu contestuale.
FIG 2 - Centro di amministrazione di Active Directory, Proprietà gruppo - Cliccare su Impostazioni password. In Impostazioni password associate direttamente cliccare sul pulsante Assegnare.
FIG 3 - Impostazioni password associate direttamente - Nella casella Immettere il nome dell'oggetto da selezionare digitare il nome del PSO creato nell'articolo precedente, cliccare su Controlla nomi, quindi cliccare su OK per procedere con l'assegnazione.
FIG 4 - Seleziona Oggetto impostazioni password - Da questo momento gli utenti che appartengono al gruppo GRP_Marketing, nel cambio password, dovrà rispettare le condizioni impostate.
FIG 5 - PSO aggiunto al gruppo
Assegnare ad un gruppo restrizioni sulla password (PSO) tramite PowerShell
Per assegnare ad un gruppo la policy FINE-GRAINED policy tramite PowerShell, viene utilizzato il cmdlet Add-ADFineGrainedPasswordPolicySubject. Avviare Windows PowerShell (amministratore) ed eseguire il comandoAdd-ADFineGrainedPasswordPolicySubject -Identity:"CN=PSO_Domain_Admin,CN=Password Settings Container,CN=System,DC=mycompany,DC=local" -Server:"Server1DC.mycompany.local" -Subjects:"CN=GRP_Marketing,OU=Marketing,DC=mycompany,DC=local"
Verificare Impostazioni password di un account utente
Nei paragrafi precedenti è stato assegnato al gruppo GRP_Marketing la restrizione sulle password tramite l'assegnazione del PSO. Per verificare le restrizioni attribuite ad un account utente che fa parte del gruppo:- Dal Centro di amministrazione di Active Directory navigare all'interno del dominio fino all'account utente che si intende verificare (ne nostro caso mycompany.local\Marketing\Utenti)
- Cliccare sull'account da verificare con il tasto destro del mouse e selezionare Visualizza impostazioni password risultanti.
FIG 6 - Centro di amministrazione di Active Directory, Visualizza impostazioni password risultanti - Apparirà a video l'oggetto PSO che è stato assegnato al gruppo GRP_Marketing e di conseguenza agli account utente appartenenti al gruppo.
FIG 7 - Password Settings Object
Nessun commento:
Posta un commento
I messaggi sono soggetti a moderazione da parte dell'amministratore prima della loro pubblicazione.