Longhorn đã sẵn sàng cung cấp mật khẩu đa miền

Tôi đã từng nghe suốt 7 năm qua một câu rằng: “Ước gì Microsoft cho phép các chính sách mật khẩu đa miền trong một miền đơn”. Và bây giờ điều đó đã thành sự thực! Thế hệ server tiếp theo của Microsoft, với tên nguồn là Longhorn sẽ cung cấp chức năng này một cách rất đặc trưng. Sau thời gian dài chờ đợi, bây giờ một trong các thành phần được yêu cầu nhiều nhất cho Windows Active Directory đã được đáp ứng. Liệu Windows 2000 và Windows 2003 có cung cấp thành phần này không? Nếu câu trả lời của bạn là có thì sau khi đọc xong bài này bạn sẽ hiểu rõ quan điểm ấy sai lầm ra sao, đồng thời cũng sẽ biết được khả năng của Longhorn trong lĩnh vực này.

Triển khai chính sách mật khẩu miền với Active Directory Windows 2000/2003

Trong quá trình cài đặt Windows Active Directory cho một Domain Controller, hai Group Policy Object (GPO), tức đối tượng chính sách nhóm được tạo. Các GPO này được đặt tên là Default Domain Controllers Policy và Default Domain Policy. Đầu tiên, tất nhiên chúng ta sẽ hướng đến các máy kiểm soát miền, liên kết với đơn vị tổ chức Domain Controller (OU) nhưng chỉ với OU trong quá trình cài đặt mới Active Directory. Trách nhiệm chính của GPO này là thiết lập đặc quyền người dùng cho Domain Controller, cũng như một số thiết lập bảo mật hỗn hợp khác.

Default Domain Policy liên kết tới nút miền trong toàn bộ quá trình cài đặt, với một trách nhiệm mặc định. Đó là thiết lập Password Policy cho tất cả tài khoản người dùng trong miền. Password Policies chỉ là một trong ba phần khác nhau ở khu vực Account Policies. Bên cạnh đó còn có Account Lockout Policies và Kerberos Policies.

Bên trong Default Domain Policy, các thiết lập kiểm soát mật khẩu tài khoản người dùng trong miền và giới hạn khoá được tạo, như trong Hình 1, Hình 2 bên dưới.


Hình 1
: Các thiết lập Password Policies.


Hình 2
: Các thiết lập Account Lockout Policies.

Nếu các giá trị mặc định không được hoan nghênh, bạn có thể chỉnh sửa chúng. Có hai hướng thực hiện là update Default Domain Policy để đạt được các thiết lập Password Policy mong đợi. Hoặc không thay đổi GPO mặc định mà tạo mới một GPO khác. Sau đó liên kết nó với miền, cấu hình với các thiết lập Password Policy mong đợi cũng như các thiết lập khác và chuyển lên mức ưu tiên cao hơn Default Domain Policy, như trong Hình 3.


Hình 3: GPO mới với mức ưu tiên cao hơn được tạo để cung cấp
Password Policy cho tất cả tài khoản người dùng trong miền.

Thiết lập chính sách mật khẩu quản lý tài khoản bảo mật cục bộ (SAM)

Nếu bạn nghĩ rằng Password Policy có thể được thiết lập trong một GPO liên kết tới một OU mới do bạn tạo thì bạn đúng. Nhưng nếu bạn nghĩ rằng các thiết lập Password Policy trong GPO mới này sẽ tác động tới tài khoản người dùng nằm trong OU đó thì bạn đã sai. Đây là khái niệm sai lầm rất phổ biến về cách thức hoạt động của Password Policy trong các miền Active Directory Windows 2000/2003.

Các thiết lập được tạo trong những GPO này không ảnh hưởng tới tài khoản người dùng, nhưng ảnh hưởng tới tài khoản máy tính. Điều này được thể hiện trong hình minh hoạ 1 ở trên. Bạn có thể thấy phần Account Policies rõ ràng nằm dưới nút Computer Configuration trong GPO.

Sự nhầm lẫn ngày càng tăng do sự thật là tài khoản máy tính không có mật khẩu, còn tài khoản người dùng thì có. Để khắc phục, các GPO thực hiện cấu hình SAM (trình quản lý tài khoản bảo mật) trên máy tính, đưa ra các kiểm soát giới hạn mật khẩu cho tài khoản người dùng cục bộ được lưu trữ ở đó.

Cũng cần chú ý rằng các thiết lập Password Policies trong GPO liên kết tới OU mặc định có quyền ưu tiên cao hơn Default Domain Policy. Do đó, bất kỳ thiết lập nào được thực hiện trong GPO liên kết tới OU sẽ có tác động mức miền. Điều này có thể thay đổi qua tuỳ chọn Enfored trên GPO liên kết tới miền có các thiết lập Password Policy mong đợi, như minh hoạ trên Hình 4.


Hình 4
: GPO liên kết tới miền với cấu hình tuỳ chọn Enforced.

Chính sách mật khẩu miền Longhorn

Trong Longhorn, khái niệm và hoạt động về thiết lập chính sách mật khẩu cho tài khoản người dùng trong miền thường có kết quả đảo ngược. Các chính sách mật khẩu đa miền hiện nay có thể áp dụng cho cùng một miền. Tất nhiên, đây là thành phần đã được mong đợi từ lâu, rất lâu rồi, từ cái thời của Windows NT 4.0. Câu này cũng đã trở nên quá quen thuộc: “Tôi muốn có mật khẩu tổng hợp hơn cho quản trị viên so với người dùng tiêu chuẩn trong miền”.

Bây giờ, bạn có thể tạo chính sách mật khẩu tuỳ chọn cho bất kỳ kiểu người dùng nào trong môi trường của mình. Đó có thể là những người trong lĩnh vực HR, tài chính, nhân viên, quản trị IT, nhân viên hỗ trợ…

Các thiết lập bạn sẽ có trong thời kỳ chuyển nhượng cũng giống như bên trong các Group Policy Object hiện nay. Chỉ có điều là bạn sẽ không cần dùng Group Policy để cấu hình chúng. Với Longhorn, có một đôi tượng mới tỏng Active Directory cho bạn cấu hình. Đó là Password Settings Object, bao gồm toàn bộ các thuộc tính hiện thời có trong Password Policies và Account Lockout Policies.

Để triển khai, bạn cần tạo một đối tượng LDAP mới có tên msDS-PasswordSettings bên dưới nơi lưu trữ Password Settings. Đường dẫn LDAP có dạng: “cn=Password Settings,cn=System,dc=domainname,dc=com”. Bên dưới đối tượng mới này, bạn sẽ cần điền thông tin cho các thuộc tính sau:

msDS-PasswordSettingsPrecedence: Đây là một thuộc tính quan trọng, có thể điều khiển trường hợp một người dùng có tư cách thành viên trong đa nhóm với các chính sách mật khẩu khác nhau được thiết lập.

msDS-PasswordReversibleEncryptionEnabled: Bật/tắt chức năng để biết liệu cơ chế mã hoá đảo ngược có được hỗ trợ hay không.

msDS-PasswordHistoryLength: Xác định có bao nhiêu mật khẩu phải là duy nhất trước khi nó có thể được dùng lại.

msDS-PasswordComplexityEnabled: Thiết lập cơ chế mật khẩu yêu cầu ít nhất 6 ký tự, 3 hay 4 kiểu ký tự và từ chối mật khẩu nào được dùng làm tên đăng nhập.

msDS-MinimumPasswordLength: Thiết lập độ dài nhỏ nhất cho mật khẩu.

msDS-MinimumPasswordAge: Xác định người dùng phải dùng mật khẩu trong bao lâu trước khi thay đổi nó.

msDS-MaximumPasswordAge: Xác định người dùng có thể dùng mật khẩu trong bao lâu trước khi chúng được yêu cầu thay đổi.

msDS-LockoutObservationWindow: Xác định khoảng thời gian bộ đếm mật khẩu sai sẽ được thiết lập lại.

msDS-LockoutDuration: Xác định thời gian bao lâu tài khoản sẽ bị khoá sau quá nhiều lần nhập mật khẩu sai.

Sau khi các thuộc tính được cấu hình, đối tượng mới sẽ được liên kết với nhóm mở rộng Active Directory. Chương trình liên kết hoàn chỉnh ở bước thêm tên LDAP của nhóm vào thuộc tính msDS-PSOAppliesTo.

Tóm tắt

Longhorn sẽ được trình diện với một số thành phần mới, công nghệ mới và phương thức mới cho hoạt động điều khiển và quản lý đối tượng trong doanh nghiệp của bạn. Cho đến bây giờ, một trong các thành phàn ấn tượng nhất và nhanh chóng sẽ trở nên phổ biến là khả năng thiết lập chính sách đa mật khẩu trong một miền đơn. Có thể trong đầu bạn đã bắt đầu hình suy nghĩ về tác động của chức năng mới lên môi trường hệ hiện tại của mình và bắt đầu vạch kế hoạch về cái bạn muốn thực hiện trong một thời gian dài.

Thứ Năm, 03/05/2007 11:18
31 👨 109
0 Bình luận
Sắp xếp theo
    ❖ Kiến thức cơ bản