giovedì 9 aprile 2020

Windows Server 2019: Assegnare ad un gruppo restrizioni sulla password (PSO)

Nell'articolo Windows Server 2019: Impostare la complessità della password tramite Password Settings Object è stato mostrato come creare un oggetto contenente impostazioni/restrizioni relative alla password (FINE-GRAINED password policy). In questo articolo mostrerò come assegnare tali restrizioni ad un gruppo.
Supponiamo di voler assegnare tali impostazioni a tutti gli utenti che fanno parte del gruppo GRP_Marketing (creato negli articoli precedenti all'intero del nostro dominio nell'unità organizzativa Marketing). Vediamo come è possibile effettuare l'operazione tramite il Centro di amministrazione di Active Directory e PowerShell.


Assegnare ad un gruppo restrizioni sulla password (PSO) tramite Centro di amministrazione di Active Directory

  • Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.
    Windows Server 2019, Centro di amministrazione di Active Directory
    FIG 1 - Windows Server 2019, Centro di amministrazione di Active Directory
  • Selezionare il proprio dominio quindi cliccare sulla UO Marketing, selezionare il gruppo GRP_Marketing,  cliccarci su con il tasto destro del mouse e selezionare Proprietà dal menu contestuale.
    Centro di amministrazione di Active Directory, Proprietà gruppo
    FIG 2 - Centro di amministrazione di Active Directory, Proprietà gruppo
  • Cliccare su Impostazioni password. In Impostazioni password associate direttamente cliccare sul pulsante Assegnare.
    Impostazioni password associate direttamente
    FIG 3 - Impostazioni password associate direttamente
  • Nella casella Immettere il nome dell'oggetto da selezionare digitare il nome del PSO creato nell'articolo precedente, cliccare su Controlla nomi, quindi cliccare su OK per procedere con l'assegnazione.
    Seleziona Oggetto impostazioni password
    FIG 4 - Seleziona Oggetto impostazioni password
  • Da questo momento gli utenti che appartengono al gruppo GRP_Marketing, nel cambio password, dovrà rispettare le condizioni impostate.
    PSO aggiunto al gruppo
    FIG 5 - PSO aggiunto al gruppo



Assegnare ad un gruppo restrizioni sulla password (PSO) tramite PowerShell

Per assegnare ad un gruppo la policy FINE-GRAINED policy tramite PowerShell, viene utilizzato il cmdlet Add-ADFineGrainedPasswordPolicySubjectAvviare Windows PowerShell (amministratore) ed eseguire il comando
Add-ADFineGrainedPasswordPolicySubject -Identity:"CN=PSO_Domain_Admin,CN=Password Settings Container,CN=System,DC=mycompany,DC=local" -Server:"Server1DC.mycompany.local" -Subjects:"CN=GRP_Marketing,OU=Marketing,DC=mycompany,DC=local"




Verificare Impostazioni password di un account utente

Nei paragrafi precedenti è stato assegnato al gruppo GRP_Marketing la restrizione sulle password tramite l'assegnazione del PSO. Per verificare le restrizioni attribuite ad un account utente che fa parte del gruppo:

  • Dal Centro di amministrazione di Active Directory navigare all'interno del dominio fino all'account utente che si intende verificare (ne nostro caso mycompany.local\Marketing\Utenti)
  • Cliccare sull'account da verificare con il tasto destro del mouse e selezionare Visualizza impostazioni password risultanti.
    Centro di amministrazione di Active Directory, Visualizza impostazioni password risultanti
    FIG 6 - Centro di amministrazione di Active Directory, Visualizza impostazioni password risultanti
  • Apparirà a video l'oggetto PSO che è stato assegnato al gruppo GRP_Marketing e di conseguenza agli account utente appartenenti al gruppo.
    Password Settings Object
    FIG 7 - Password Settings Object






Nessun commento:

Posta un commento

I messaggi sono soggetti a moderazione da parte dell'amministratore prima della loro pubblicazione.