[Active Directory] ADSI 편집으로 Password 설정 만들기

ADSI 편집으로 강력한 Password 설정 만들기
(Fine-Grained 비밀 번호 정책 구현)

[관리 도구] -> [ADSI 편집] -> 메뉴에 [동작] -> [연결 대상] -> 디폴트로 [확인] ->
[기본 명명 컨텍스트] 모든 항목을 DN으로 보여준다. (우리가 수정할 수 있다)
"DC=itbank, DC=vm" -> "CN=System" -> "CN=Password Setting Container" 로 이동
# 암호화를 따로 저장하는 곳

마우스 우클릭 -> [새로 만들기] -> [개체] ->


< 개체 만들기 >

1. 클래스 선택 (Default : msDS-PasswordSettings)
[다음]

2. cn / 유니코드 문자열 / Common-Name
(강사부는 암호를 간단하게 쓸 수 있게 바꿔보자)
[값] : "강사부 암호 정책" 입력
[다음]

3. msDS-PasswordSettingsPrecedence / 정수 / Password Settings Precedenc
[값] : "10" 입력
[다음]

4. msDS-PasswordReversibleEncryptionEnabled / 불 / Password reversible encryption status for user accounts
(해독가능한 암호화 저장)
[값] : "false" 입력
[다음]

5. msDS-PasswordHistoryLength / 정수 / Password History Length for user accounts
(암호를 몇번이나 기억하게 할 것인가)
[값] : "24" 입력
[다음]

6. msDS-PasswordComplexityEnabled / 불 / Password Complexity status for user accounts
[값] : "false" 입력
[다음]

7. msDS-MinimumPasswordLength / 정수 / Minimum Password Length for user accounts
(암호 길이)
[값] : "4" 입력
[다음]

8. msDS-MinimumPasswordAge / 기간 / Minimum Password Age for user accounts
(최소 기간)(하루만 쓰게함)
[값] : "-5184000000000" 입력 (일단 만들고 고칠 것이다)
[다음]

9. msDS-MaximumPasswordAge / 기간 / Maximum Password Age for user accounts
(최대 기간)
[값] : "-6040000000000" 입력
[다음]

10. msDS-LockoutThreshold / 정수 / Lockout threshold for lockout of user accounts
(몇번 틀리면 잠기게 할것인가)
[값] : "3" 입력
[다음]

11. msDS-LockoutObservationWindow / 기간 / Observation Window for lockout of user accounts
(얼마동안 잠기면 풀리게 할 것인가)
[값] : "-18000000000" 입력
[다음]

12. msDS-LockoutDuration / 기간 / Lockout duration for locked out user accounts
(똑같이 입력)
[값] : "-18000000000" 입력
[마침]

[CN=강사부 암호 정책] 생성
만들어진 [CN=강사부 암호 정책] -> 마우스 우클릭 -> [속성]

항목 값 수정 : "1:00:00:00"
[msDS-MaximumPasswordAge] 항목 값 수정 : "30:00:00:00"

# 참고로 msDS-PasswordSettingsPrecedence (우선 순위) 디폴트는 1이다. 우리는 10으로 걸어줬음

(어디에 누구에게 걸어줄 것인가)
[msDS-PSOAppliesTo] 항목 더블 클릭 -> [Windows 계정 추가] -> [고급] -> (글로벌 그룹만 적용 가능하다) ->
"G-"로 검색 -> "G-itbank 강사부" 선택 -> [확인] -> [확인]

[AD DS 사용자 및 컴퓨터] - [강사부] OU에 가서 암호를 바꿔보면 4자리로 바꿀 수 있다.
다른 부서에서는 안된다.


출처 : http://blog.naver.com/PostView.nhn?blogId=takakobj&logNo=110120832498