การใช้งาน Fine Grain Password Policy [Step by Step]

หมายเลขบทความ (Article ID): 2620005 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เกี่ยวกับผู้เขียน

ยุบตารางนี้ขยายตารางนี้
 
ยุบรูปภาพนี้ขยายรูปภาพนี้
2401266
 
บทความนี้เขียนโดยคุณ Suttipan Passorn ตำแหน่ง Management Infrastructure MVP  หากคุณต้องการข้อมูลเพิ่มเติมเกี่ยวกับผลิตภัณฑ์ของไมโครซอฟท์ โปรดเข้าไปที่เว็บไซต์ http://www.mvpskill.com/th/  คุณ Suttipan Passorn เป็นผู้ดูแล.

บทนำ

Active Directory Domain Service: Fine-Grained Password Policies เป็น Option พิเศษที่มีมากับ ระบบปฏิบัติการ Windows Server? 2008 โดยที่อำนวยความสะดวกให้ผู้ดูแลระบบสามารถสร้าง Password Policy ได้หลากหลาย เพื่อรองรับความต้องการที่หลากหลายในการบังคับใช้เรื่องนโยบายรหัสผ่าน ซึ่งช่วยให้ในโดเมนเดียวกัน จัดการเรื่องนโยบายรหัสผ่านไม่เหมือนกันได้

ตัวอย่างเช่นนโยบายรหัสผ่านที่มีมากับระบบ  Windows Server

Enforce password history = บังคับรหัสผ่านไม่ให้ซ้ำกับที่เคยใช้มาก่อนหน้า
Maximum password age = บังคับอายุการใช้งานรหัสผ่าน
Minimum password age = บังคับอายุการใช้งานรหัสผ่าน
Minimum password length = บังคับความยาวของรหัสผ่าน
Passwords must meet complexity requirements = บังคับให้รหัสผ่านมีความซับซ้อน

ความต้องการในการใช้งานรหัสผ่านของทุก Users บน Domain อาจไม่เท่ากัน เช่น

- พนักงานในส่วนของการเงินต้องการรหัสผ่านที่มีความซับซ้อนยากต่อการคาดเดา
- พนักงานในส่วนของ Developer ต้องการใช้งานรหัสผ่านที่ไม่ต้องยุ่งยากมากเพื่อทดสอบระบบอย่างเป็นประจำ
- พนักงานที่อายุเยอะมากแล้ว หรือ ผู้บริหารที่ไม่สามารถจดจำรหัสผ่านที่ถูกบังคับให้เปลี่ยนเป็นประจำได้

Fine-Grained Password Policies สามารถบังคับให้ความต้องการที่หลากหลายได้โดยที่


วิธีทำแบบ Step By Step

สถานการณ์สมมุตินี้จะทำการสร้าง Password Policy สำหรับพนักงานในฝ่ายบัญชีโดยที่ต้องการบังคับให้

  • มีความยาวรหัสผ่านมากขึ้น (10 ตัวอักษร)
  • รหัสผ่าน จะหมดอายุช้าลง (ต้องเปลี่ยนทุก 60 วัน)

1. สร้างกลุ่มผู้ใช้งานขึ้นมาเป็นแบบ Security Group โดยนำสมาชิกของพนักงานฝ่ายบัญชีเข้าไปเป็นสมาชิกในกลุ่มนี้
ยุบรูปภาพนี้ขยายรูปภาพนี้
2622905


(สร้าง OU ชื่อ Accounting และ Security Groups ชื่อ Accounting โดยมี Member เป็น acc01 และ acc02)

ยุบรูปภาพนี้ขยายรูปภาพนี้
2622906


2. ทำการสร้าง Password Settings Object โดยการใช้เครื่องมือ ADSI Edit
(เปิด ADSI Edit ขึ้นมาจาก Start > Administrative Tools > ADSI Edit)
ยุบรูปภาพนี้ขยายรูปภาพนี้
2622907


3. คลิกขวาที่ ADSI Edit แล้วเลือก Connect to โดยเลือก Connection Settings
(Select a well known Naming Context = Default naming context)
ยุบรูปภาพนี้ขยายรูปภาพนี้
2622908



4. ที่เมนู ADSI Edit เข้าไปเลือก CN=System และ CN= Password Settings Container จากนั้นทำการคลิกขวาเลือก New Object

ยุบรูปภาพนี้ขยายรูปภาพนี้
2622909


5. จากนั้นดำเนินการตาม Step ดังต่อไปนี้


ขั้นตอนย่อย

  • ที่หน้าต่าง Create Object เลือก msDS-PasswordSettings กด Next
  • เลือกตั้งชื่อ Password Settings Object เป็นอะไรก็ได้ เช่น Value: Password For Accounting Department
  • เริ่มกรอกข้อมูลต่าง ๆ ของ PSO เข้าไปโดยการแปลค่าความหมายเหมือนกับ Password Policy ของ Security Settings ในระบบ Windows Server ทั่วไป
  • ตัวอย่างการกรอก msDS-PasswordSettingsPrecedence = Value: 10
  • ตัวอย่างการกรอก msDS-PasswordReversible EncryptionEnabled = Value: FALSE
  • ตัวอย่างการกรอก msDS-PasswordHistoryLength = Value: 50
  • ตัวอย่างการกรอก msDS-PasswordComplexitityEnabled = Value: TRUE
  • ตัวอย่างการกรอก msDS-MinimumPasswordLength = Value: 10
  • ตัวอย่างการกรอก msDS-MinimumPasswordAge = Value: 7:00:00:00 
  • ตัวอย่างการกรอก msDS-MaximumPasswordAge = Value: 60:00:00:00
  • ตัวอย่างการกรอก msDS-LockoutThreshold = Value: 2
  • ตัวอย่างการกรอก msDS-LockoutObservation = Value: 0:00:30:00
  • ตัวอย่างการกรอก msDS-LockoutDuration = Value: 0:00:00:00

หลังจากที่กรอกค่า Password Policy เข้าไปเรียบร้อยแล้วให้กดปุ่ม More Attributes และเลือกช่อง Select a property to view = msDS-PSOAppliesTo ในส่วนของช่อง Edit Attribute: ให้ใส่ชื่อแบบ Distinguished Name (DN) ของ Group นั้น ๆ เช่นตัวอย่างนี้ตั้งชื่อ Group ว่า Accounting จึงใส่ค่าดังนี้

Edit Attribute: CN=Accounting,OU=Accounting,DC=demo,DC=com

จบขั้นตอนในการบังคับใช้ กดปุ่ม Finish เป็นอันเสร็จสิ้นการกำหนด Password Policy สำหรับ User เฉพาะกลุ่มซึ่งมีผลกับ Groups ที่เราได้กำหนดไว้เท่านั้น


แหล่งอ้างอิง

ข้อมูลเพิ่มเติมเกี่ยวกับ Fine-Grained Password Policies จาก Technet

การปฏิเสธความรับผิดเนื้อหาแนวทางแก้ปัญหาจากประชาคม

MICROSOFT CORPORATION และ/หรือ ซัพพลายเออร์ของบริษัท ไม่ได้เป็นตัวแทนรับรองถึงความเหมาะสม ความเชื่อถือได้ หรือความเที่ยงตรงของข้อมูลและภาพกราฟิคที่เกี่ยวข้อง ซึ่งอยู่ในที่นี้ ข้อมูลดังกล่าวทั้งหมดและภาพกราฟิคที่เกี่ยวข้อง ได้รับการนำเสนอ “ตามที่เป็น” โดยไม่มีการให้การรับประกันใดๆ MICROSOFT และซัพพลายเออร์ของบริษัท ขอปฏิเสธการรับประกันและเงื่อนไขทั้งหมดในที่นี้ ที่เกี่ยวข้องกับข้อมูลและภาพกราฟิคนี้ รวมถึงการรับประกันและเงื่อนไขโดยนัยทั้งหมดของความสามารถในการจัดจำหน่าย ความเหมาะสมสำหรับวัตถุประสงค์เฉพาะ การทำงานที่คล้ายคลึงกับผลงานบุคคล กรรมสิทธิ์ และการไม่ล่วงละเมิด คุณตกลงเป็นการเฉพาะด้วยว่า ไม่ว่าในกรณีใด MICROSOFT และ/หรือ ซัพพลายเออร์ของบริษัท ไม่รับผิดชอบภาระใดๆ เกี่ยวกับความเสียหายทั้งทางตรง ทางอ้อม จากการใช้งานอย่างหนัก อุบัติเหตุ ความเสียหายเฉพาะกรณี หรือที่เกิดขึ้นตามมา ไม่ว่าแบบใด รวมทั้งแต่ไม่จำกัดเฉพาะ ความเสียหายจากการสูญเสียการใช้ การสูญหายของข้อมูลหรือกำไร ที่เกิดขึ้นจากหรือเกี่ยวข้องกับการใช้หรือการไม่สามารถใช้ข้อมูลและภาพกราฟิคที่เกี่ยวข้องที่อยู่ในที่นี้ ไม่ว่าจะมีพื้นฐานจากการติดต่อ การล่วงละเมิด ความประมาท ภาระหนี้สิน หรือในทางอื่นใด แม้ว่า MICROSOFT หรือซัพพลายเออร์รายใดของบริษัท จะได้รับการแจ้งถึงความเสียดายที่อาจเป็นไปได้นั้นแล้วก็ตาม

คุณสมบัติ

หมายเลขบทความ (Article ID): 2620005 - รีวิวครั้งสุดท้าย: 24 ตุลาคม 2554 - Revision: 1.0
ใช้กับ
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 Enterprise
Keywords: 
kbpasswords KB2620005

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com