Создание учетных записей пользователей (стр. 2 из 4)

В следующих разделах данной главы «Настройка политик паролей», «Настройка политик блокировки учетных записей» и «Настройка политик Kerberos» описаны отдельные процедуры для работы с политиками учетных записей. Следующий раздел данной главы «Просмотр действующих политик» расскажет Вам больше о просмотре действующих политик на локальном компьютере.

Просмотр действующих политик

Во время работы с политиками учетных записей и присвоением прав пользователей Вам часто бывает необходимо просмотреть политику, действующую на локальную систему. Действующей является применённая на данный момент политика и, как описано в Главе 4 «Управление Групповой политикой», она зависит от последовательности, в которой политики были применены.

Выполните следующие шаги, чтобы просмотреть политику, действующую на локальную систему:

1.	Откройте параметры локальной политики для системы, с которой Вы хотите работать, как показано в разделе Главы 4 «Управление локальными групповыми политиками», или выберите Параметры локальной политики (Local Policy Settings) в меню Администрирование (Administrative Tools) (если эти инструменты установлены и Вы работаете на компьютере, который хотите проверить).
2.	Откройте узел политики, которую Вы хотите проверить. На Рисунке 8-4 изображен узел Политика паролей.
3.	В случае локальных политик, графа Параметры компьютера (Computer Management) заменена графами Локальные параметры (Local Setting) и Действующие параметры (Effective Setting). Графа Локальные параметры (Local Setting) отображает параметры локальной политики. Графа Действующие параметры (Effective Setting) отображает параметры политик, примененные на данном локальном компьютере.
4.	Если Вы столкнулись с конфликтами политик, пересмотрите разделы «В каком порядке применять несколько политик?» и «Когда применяются групповые политики?» Главы 4.

Настройка политик учетных записей

Как Вы узнали из предыдущего раздела, существует три типа политик для управления учетными записями: политики паролей, политики блокировки учетных записей и политики Kerberos. Следующий раздел описывает настройку каждой из этих политик.

Рисунок 8-4. Локальные политики отображают как действующие параметры, так и локальные параметры.

Настройка политик паролей

Политики паролей контролируют безопасность паролей и они включают:

•	Требовать неповторяемости паролей
•	Максимальный срок действия паролей
•	Минимальный срок действия паролей
•	Минимальная длина пароля
•	Пароль должен отвечать требованиям сложности
•	Хранить пароли всех пользователей в домене, используя обратимое шифрование

Использование этих политик описано в следующих разделах.

Требовать неповторяемости паролей

Политика «Требовать неповторяемости паролей» определяет, как часто старые пароли могут быть использованы повторно. С помощью этой политики Вы можете побудить пользователей к выбору паролей, не входящих в общеизвестный набор. Windows 2000 может хранить до 24 паролей для каждого пользователя, но по умолчанию хранит в истории паролей только один.

Чтобы выключить эту функцию, установите размер истории паролей равным нулю. Чтобы включить – установите длину истории паролей, используя поле «хранимых паролей». В этом случае Windows 2000 будет отслеживать старые пароли с помощью истории паролей, которая уникальна для каждого пользователя, и пользователи не смогут заново использовать любой из хранимых паролей.

Примечание. Вы не должны разрешать пользователям менять пароли немедленно, чтобы они не смогли обойти политику «Требовать неповторяемости паролей». Это помешает пользователям изменять свои пароли несколько раз подряд, чтобы вернуться к старым паролям.

Максимальный срок действия паролей

Политика «Максимальный срок действия паролей» определяет, как долго пользователи могут пользоваться паролями перед их обязательной сменой. Целью этой политики является периодически заставлять пользователей менять их пароли. При использовании этой возможности установите значение, которое более всего подходит для вашей сети. Как правило, следует указывать тем меньший срок, чем выше уровень безопасности, и наоборот.

Срок действия пароля по умолчанию составляет 42 дня, но Вы можете присвоить ему любое значение от 0 до 999. Значение 0 означает, что срок действия пароля никогда не истекает. Несмотря на то, что, возможно, Вы хотели бы установить неистекающий срок действия пароля, пользователи должны менять пароль регулярно для поддержания безопасности сети. Если требования к безопасности высоки, подойдут значения 30, 60 или 90 дней. Если безопасность не очень важна, то подойдут значения 120, 150 или 180 дней.

Примечание. Windows 2000 уведомляет пользователей о приближении окончания срока действия пароля. Если до окончания срока действия пароля остается менее 30 дней, то пользователи каждый раз во время входа в систему видят предупреждение о необходимости сменить пароль в течении определенного срока.

Минимальный срок действия паролей

Политика «Минимальный срок действия паролей» определяет, как долго пользователи должны сохранять свой пароль перед тем, как смогут его сменить. Вы можете использовать это поле, чтобы помешать пользователям обманывать систему паролей путем ввода нового пароля и дальнейшей его замены на старый.

Windows 2000 по умолчанию позволяет пользователям изменять пароли немедленно. Чтобы помешать этому, установите определенный минимальный срок. Приемлемые значения этого параметра находятся в промежутке от трех до семи дней. Таким образом, ваши пользователи будут менее склонны к использованию бывших в употреблении паролей, располагая при этом возможностью при желании поменять их в приемлемый срок.

Минимальная длина пароля

Политика «Минимальная длина пароля» устанавливает минимальное количество символов для пароля. Если Вы не меняли параметры, установленные по умолчанию, Вам придется это сделать очень скоро. По умолчанию разрешены пустые пароли (пароли, в которых нет символов), что определенно не является правильным подходом.

Как правило, из соображений безопасности, Вам понадобятся пароли по меньшей мере из восьми символов. Причиной этому является то, что длинные пароли обычно труднее взломать, чем короткие. Если Вам необходимо обеспечить более серьезную безопасность, установите минимальную длину паролей 14 символов.

Пароль должен отвечать требованиям сложности

Помимо основных политик для управления паролями и учетными записями, Windows 2000 включает средства для создания дополнительных элементов управления паролями. Эти возможности доступны в фильтрах паролей, которые могут быть установлены на контроллер домена. Если Вы установили фильтр пароля, разрешите политику «Пароль должен отвечать требованиям сложности». В этом случае все пароли должны будут соответствовать требованиям безопасности фильтра.

Например, стандартный фильтр Windows NT (PASSFILT.DLL) требует использования безопасных паролей, которые соответствуют следующим рекомендациям:

•	Пароли должны быть не менее шести символов в длину.
•	Пароль не должен содержать имя пользователя, такие как «stevew», или части его полного имени, такие как Steve.
•	Пароли должны использовать три или четыре доступных типа символов: строчные буквы, заглавные буквы, цифры и специальные символы.

Хранить пароли, используя обратимое шифрование

Пароли, хранящиеся в базе данных паролей, зашифрованы. В общем случае, шифрование не может быть снято. Если Вы хотите разрешить отмену шифрования, примените политику «Хранить пароли всех пользователей в домене, используя обратимое шифрование». Пароли будут храниться с использованием обратимого шифрования и смогут быть восстановлены в аварийной ситуации. Случаи с забыванием пароля к таковым не относятся. Любой администратор может изменить пароль пользователя.