Merhabalar , Konu başlığındanda anlaşılacağı üzere size Windows Server 2003 sistemlerde sadece Domain Bazında uygulanabilen; Security Grup ya da Kullanıcılara ayrı ayrı uygulanamayan ( 2003 serverlara 3rd parti bir araç ile uygulanabilmektedir. ) Password Policy ve Account Lockout Policy?nin Windows Server 2008 ?deki değişiklik ve geliştirme sonrası Kullanıcı Ya da Global Security Grup Bazında nasıl uygulanacağını anlatacağım.

 Windows Server 2000 ve Windows Server 2003 Active Directory domainlerinde ; tüm domain kullanıcılarına Default Domain Policy?de tanımlanan sadece bir Password Policy ve Account Lockout Policy uygulanabilirdi.Sonuç olarak eğer farklı bir Password Policy ve Account Lockout Policy ayarlamasını farklı kullanıcı takımına uygulamak isteseydiniz ya bir Password Filtresi oluşturmalı bknz. ya da birden fazla Domain kurmak zorunda kalırdınız.

Windows Server 2008?de ise fine-grained password policy teknolojisini kullanarak birden fazla Password Policy ve Account Lockout Policy?i bir tek Domain içerisindeki farklı kullanıcı takımlarına uygulayabilirsiniz.

Windows Server 2008 Fine-Grained password policy?leri depolamak için Active Directory Domain Services Schema?sında iki yeni nesene sınıfı içerir.

·         Password Settings Container
·         Password Settings

Password Settings Container (PSC) nesne sınıfı ,domainde system konteynır?ı içerisinde default olarak oluşur ve bu domain için Password Settings objects (PSOs)?leri depolar.Bu konteynırı yeniden adlandıramaz,taşıyamaz  ya da silemezsiniz.

Fine-Grained Password ve Account Lockout Policy?ler oluşturmadan önce ,gerekli grupları oluşturarak ve gruplar arasında ya da gruplara  kullanıcıları ekleyip taşıyarak  organizasyonel yapınızı tanımlayınız.Özellikle kaç tane bu tür bir Password Policy?e ihtiyacınız olduğunu belirleyiniz.

Fine-Grained Password ve Account Lockout Policy?ler için özel durumlar ve gereksinimler
·         Domain Functional Level Windows Server 2008 olarak ayarlanmalıdır
·         Kullanıcı hesabının işlemleri yapabilecek izinleri olmalıdır
·         Fine-Grained Password policy?leri sadece kullanıcı hesapları ve Global Security Gruplara uygulanabilir.
·         Fine-Grained Password policy?leri daha önce uygulanmış Password Policyleri etkilemez.

  PSO ( Password Settings Object ) Oluşturmak.
Grup ve Kullanıcı Bazlı Password Policy oluşturmak için öncelikli olarak bir  PSO ( Password Settings Object ) Oluşturmak gerekmektedir. PSO ( Password Settings Object ) ?i iki şekilde oluşturabilirsiniz.

·         ADSI Edit tool?u kullanarak
·         Ldifde komutunu kullanarak

Fine-Grained Password ve Account Lockout Policy hakkında bu bilgileri verdikten sonra artık adım adım yapılandırmamıza geçebiliriz.

        ADSI Edit Tool?u kullanarak PSO ( Password Settings Object ) Oluşturmak. 
Bu makalemde size ADSI Edit tool kullanarak nasıl PSO oluşturacağınızı anlatacağım.

Başlat ( Start ) butonuna tıklayarak Aramaya Başla ( Start Search ) alanına adsiedit.msc yazarak enter tuşuna tıklayınız.

Karşınıza ADSI Edit tool?u açılacaktır.

ADSI Snap-ini karşınıza geldiğinde ADSI Edit bileşeni üzerinde sağ klik yapıp Connect to? seçeneğini tıklayınız.

 Name kısmına FQDN ( Fully Qualified Domain Name ) olarak PSO ( Password Setting Object ) oluşturmak istediğiniz Domain?i belirtiniz ve OK tuşuna   tıklayınız.

Benim test sistemimin FQDN?i orkuntest.local olduğu için bu şekilde yazıyorum.

 Daha sonra aşağıdaki şekildeki gibi CN=Password Settings Container kısmına geliniz.

Burada sağ klik yaparak New , onun içindende Object seçeneğini tıklayalım.

 Create Object dialog kutusundan msDS-PasswordSettings seçeneğini seçip OK tuşuna tıklayalım.

Oluşturacağımız Objemize bir isim verelim. Ben örneğimde Management ismini kullandım

 Artık sıra oluşturacağımız objemizin policy ayarlarını girmemize geldi.
·         msDS-PasswordSettingsPrecedence

Bu değer sıfırdan büyük olmak zorundadır. Eğer birden fazla PSOs iniz var ise en düşük priority değeri olan PSO?nun önceliği olmaktadır.

 ·         msDS-PasswordReversibleEncryptionEnabled 

Bu değer Kullanıcı Hesapları için dönüştürülebilir encryption şifresi durumunu bknz.  İçerir.Genelde uygulanması önerilmeyen bir uygulamadır.Bu değer kullanılacaksa TRUE kullanılmayacak ise FALSE değeri kullanılmalıdır.

 ·         msDS-PasswordHistoryLength

Bu değer kullanıcının daha önce kullanmış olduğu passwordlerden kaçıncıya kadar olanları kullanamayacağını belirtir.Örnek olarak 3 yazarsanız en son kullanılan 3 şifre kullanılamayacaktır.Bu değer için 0-1024 arası bir değer girilebilir.

 ·         msDS-PasswordComplexityEnabled
Bu değer Password Complexity kullanılıp kullanılmayacağını belirtir.Eğer Password Complexity kullanılacak ise TRUE kullanılmayacak ise FALSE değeri girilmelidir.

Password Complexity için şifrenin;

? Password en az 8 karakter uzunluğunda olmalıdır.
? Password izleyen beş karakter kategorisinden en az üçünü içermelidir.

a- İngilizce büyük harf karakterleri (A - Z)
b- İngilizce küçük harf karakterleri (a - z)
c- (0 - 9) arası temel rakamlar
d- Alfa-numerik olmayan karakterler (örneğin: !, $, #, or %)
e- Unicode karakterler bknz. ( http://en.wikipedia.org/wiki/List_of_Unicode_characters )

? Password,  kullanıcı hesabının üç ya da daha fazla karakterini içermemelidir.

 ·         msDS-MinimumPasswordLength

Bu değer Password?un en az kaç karakter olabileceğini belirtir 0 ? 255 karakter arası girilebilir.

  ·         msDS-MinimumPasswordAge

Bu güvenlik ayarı Passwordun değiştirilmeden önce kullanıcı tarafından ne kadar zaman periyodunda ( Gün olarak ) kullanılması gerekliliğini belirtir.Bu değeri 1 ile 998 arasında belirleyebilirsiniz ya da hemen değişimin sağlanabilmesi için 0 olarak verebilirsiniz. minimum password age, Maximum password age?den daha az olmak zorundadır. Bknz.

Tabi attribute?da bu günlük değeri arayüze göre uygulamak biraz daha zahmetli bir uygula. Ya 00:00:00:00 formatında {( Gün: Saat : Dakika : Saniye) (1:00:00:00 1 günü temsil eder )} girilmeli ya da basitçe bu gündeki saniye süresi hesaplanarak o girilmelidir.Bknz.   Bu hesabı  -24*60*60*(10^7) = -864000000000 olarak hesaplayabilirsiniz. Bu da  -24*60*60 =  -86400 yapar *(10^7) içinde 7 sıfır koymak gerekir ve bu da -864000000000 yapar.

  ·         msDS-MaximumPasswordAge

Bu güvenlik ayarı; kullanıcının Password?unun ne zaman süresinin dolacağını bir zaman periyodunda ( Gün Olarak ) belirtir.Bu değer 1 ile  999 arasında kullanılabilir.Eğer değer verisi 0 olarak ayarlanır ise bu Password?un süresiz olacağını yani expire olmayacağını belirtir. Bknz. Buradaki süreyi hesaplama aynı ?msDS-MinimumPasswordAge? değerinde olduğu gibidir.

  ·         msDS-LockoutThreshold

Bu değer  kaç kez yanlış password girişinde kullanıcı hesabının kilitleneceğini belirtir.Bu değer 0 ile 65535 arasında verilebilir.

 ·         msDS-LockoutObservationWindow

Bu değer arayüzdeki  ?Reset account lockout counter after? değeri ile aynıdır.Bu değer başarısız bir logon denemesi olduğuktan sonra  başarısız logon denemeleri sayan sayacın sıfırlanması için geçecek süreyi belirtir.  1 ila 99,999 dakika  belirtilebilir fakat bu değer tanımlanmış ise ?msDS-LockoutDuration? değeri ile aynı ya da ondan daha az olmalıdır. Örnek olarak bu değerin 20 dakikada sıfırlanmasını istiyorsanız bu durumda -20*60*(10^7)=-12000000000 olarak girmelisiniz.

 ·         msDS-LockoutDuration

?msDS-LockoutThreshold? değerinde belirtilen adet kadar yanlış şifre girildiğinde hesabın ne kadar süre ile kilitli kalacağını belirtir. Örnek olarak bu değerin 20 dakikada sıfırlanmasını istiyorsanız bu durumda -20*60*(10^7)=-12000000000 olarak girmelisiniz.

Bu adımdan sonra Next tuşuna bastığımızda gelen dialog kutusunda Finish tıklayarak ya bu işlemi bitirip şu an herhangi bir kullanıcıya uygulanmıyan bi attirube olmasını sağlayabilirsiniz

Ya da More Attributes butonunu tıklayarak uygulanacak kullanıcı ya da Global Security grubu seçebilirsiniz.

·         msDS-PSOAppliesTo
Bu attribute?de hazırlanılan objenin hangi kullanıcı ya da Global Security Gruba linkleneceği diğer bir deyişle hangi kullanıcı ya da Global Security Gruba uygulanacağını belirtir.Örnek olarak orkuntest.local domaininde ,Management Organizational Unitinde olan Deniz isimli kullanıcımıza bu değeri atamak ister isek o zaman şu şekilde belirtmemiz gerekecektir.

 ?CN=Deniz,OU=Management,DC=orkuntest,DC=local?

Bu uygulama için More ttributes butonuna bastıktan sonra açılan Attributes tabından Select which properties to view drop-down listesinden Optional ya da Both seçilir.

Sonrasında Select a property to view kısmından msDS-PSOApplies seçeneği seçilir.

Sonrasında bu PSO ?nun uygulanacağı kullanıcı ya da Global Security Group?un Distinguished Name?i yazılır.Burada ben orkuntest.local domaininde ,Management Organizational Unitinde olan Deniz isimli kullanıcımıza bu değeri atamak istiyorum ve ?CN=Deniz,OU=Management,DC=orkuntest,DC=local? olarak yazıyorum ve Add butonuna tıklıyorum.

     
Artık bu PSO Management OU?sunda bulunan Deniz kullanıcımıza uygulanacaktır.

  Hiçbir User?a ya da Global Security gruba uygulanmamış PSO?ları sonradan kullanıcı ve gruplara eklemek :
Şekilde görüldüğü üzere herhangi bir kullanıcıya atanmamış unlinked isimli bir PSO oluşturdum.

Bu PSO yu Administrator kullanıcısına uygulamak istiyorum.Bunun için;

A-     Active Directory Users and Computer?u açalım.
B-      View menüsünden Advanced Features seçeneğini seçelim

 C-     Konsoldan domain nodeSystemPassword Settings Container kısmına kadar gelelim

  
D-      Sağ taraftaki pencerede PSO üzerinde ( Örneğimde Unlinked )sağ klik yapalım ve Properties?e tıklayalım

 E-     Attribute Editor tabını açalım

F-     msDS-PsoAppliesTo attribute?ünü seçelim ve Edit butonunu tıklayalım

G-    Burada Kullanıcının ya da Global Security Grubun, Add DN butonuna basarak Distinguished Name?ini girebilir ya da Add Windows Account butonuna basarak direk Kullanıcı eklemesi yapabilirsiniz.

Artık bu aşamadan sonra örneğimde unlinked olarak isimlendirilen PSO Administrator kullanıcısına uygulanacaktır. Bu makalemde Windows arabirimden bu uygulamanın nasıl uygulandığını size anlatmaya çalıştım.Umarım uygulamalarınız için yararlı olur.

 Referanslar : 
http://msdn.microsoft.com/en-us/library/ms721766(VS.85).aspx
http://technet.microsoft.com/en-us/library/cc784581.aspx
http://technet.microsoft.com/en-us/library/cc779758.aspx
http://technet.microsoft.com/en-us/library/cc753858.aspx
http://technet.microsoft.com/en-us/library/cc779758.aspx
http://technet.microsoft.com/en-us/library/cc770842.aspx
http://en.wikipedia.org/wiki/List_of_Unicode_characters