Longhorn đã sẵn sàng cung cấp mật khẩu đa
miền
Trong quá trình cài đặt Windows Active Directory cho một Domain Controller,
hai Group Policy Object (GPO), tức đối tượng chính sách nhóm được tạo. Các
GPO này được đặt tên là Default Domain Controllers Policy và Default Domain
Policy. Đầu tiên, tất nhiên chúng ta sẽ hướng đến các máy kiểm soát miền, liên kết
với đơn vị tổ chức Domain Controller (OU) nhưng chỉ với OU trong quá trình cài
đặt mới Active Directory. Trách nhiệm chính của GPO này là thiết lập đặc quyền
người dùng cho Domain Controller, cũng như một số thiết lập bảo mật hỗn hợp
khác.
Default Domain Policy liên kết tới nút miền trong toàn bộ quá trình cài đặt, với
một trách nhiệm mặc định. Đó là thiết lập Password Policy cho tất cả tài khoản
người dùng trong miền. Password Policies chỉ là một trong ba phần khác nhau ở
khu vực Account Policies. Bên cạnh đó còn có Account Lockout Policies và
Kerberos Policies.
Bên trong Default Domain Policy, các thiết lập kiểm soát mật khẩu tài khoản
người dùng trong miền và giới hạn khoá được tạo, như trong Hình 1, Hình 2 bên
dưới.
Nếu các giá trị mặc định không được hoan nghênh, bạn có thể chỉnh sửa chúng.
Có hai hướng thực hiện là update Default Domain Policy để đạt được các thiết lập
Password Policy mong đợi. Hoặc không thay đổi GPO mặc định mà tạo mới một
GPO khác. Sau đó liên kết nó với miền, cấu hình với các thiết lập Password Policy
mong đợi cũng như các thiết lập khác và chuyển lên mức ưu tiên cao hơn Default
Domain Policy, như trong Hình 3.
Thiết lập chính sách mật khẩu quản lý tài khoản bảo mật cục bộ (SAM)
Nếu bạn nghĩ rằng Password Policy có thể được thiết lập trong một GPO liên kết
tới một OU mới do bạn tạo thì bạn đúng. Nhưng nếu bạn nghĩ rằng các thiết lập
Password Policy trong GPO mới này sẽ tác động tới tài khoản người dùng nằm
trong OU đó thì bạn đã sai. Đây là khái niệm sai lầm rất phổ biến về cách thức
hoạt động của Password Policy trong các miền Active Directory Windows
2000/2003.
Các thiết lập được tạo trong những GPO này không ảnh hưởng tới tài khoản người
dùng, nhưng ảnh hưởng tới tài khoản máy tính. Điều này được thể hiện trong hình
minh hoạ 1 ở trên. Bạn có thể thấy phần Account Policies rõ ràng nằm dưới nút
Computer Configuration trong GPO.
Sự nhầm lẫn ngày càng tăng do sự thật là tài khoản máy tính không có mật khẩu,
còn tài khoản người dùng thì có. Để khắc phục, các GPO thực hiện cấu hình SAM
(trình quản lý tài khoản bảo mật) trên máy tính, đưa ra các kiểm soát giới hạn mật
khẩu cho tài khoản người dùng cục bộ được lưu trữ ở đó.
Cũng cần chú ý rằng các thiết lập Password Policies trong GPO liên kết tới OU
mặc định có quyền ưu tiên cao hơn Default Domain Policy. Do đó, bất kỳ thiết lập
nào được thực hiện trong GPO liên kết tới OU sẽ có tác động mức miền. Điều này
có thể thay đổi qua tuỳ chọn Enfored trên GPO liên kết tới miền có các thiết lập
Password Policy mong đợi, như minh hoạ trên Hình 4.
Chính sách mật khẩu miền Longhorn
Trong Longhorn, khái niệm và hoạt động về thiết lập chính sách mật khẩu cho tài
khoản người dùng trong miền thường có kết quả đảo ngược. Các chính sách mật
khẩu đa miền hiện nay có thể áp dụng cho cùng một miền. Tất nhiên, đây là thành
phần đã được mong đợi từ lâu, rất lâu rồi, từ cái thời của Windows NT 4.0. Câu
này cũng đã trở nên quá quen thuộc: “Tôi muốn có mật khẩu tổng hợp hơn cho
quản trị viên so với người dùng tiêu chuẩn trong miền”.
Bây giờ, bạn có thể tạo chính sách mật khẩu tuỳ chọn cho bất kỳ kiểu người dùng
nào trong môi trường của mình. Đó có thể là những người trong lĩnh vực HR, tài
chính, nhân viên, quản trị IT, nhân viên hỗ trợ…
Các thiết lập bạn sẽ có trong thời kỳ chuyển nhượng cũng giống như bên trong các
Group Policy Object hiện nay. Chỉ có điều là bạn sẽ không cần dùng Group Policy
để cấu hình chúng. Với Longhorn, có một đôi tượng mới tỏng Active Directory
cho bạn cấu hình. Đó là Password Settings Object, bao gồm toàn bộ các thuộc tính
hiện thời có trong Password Policies và Account Lockout Policies.
Để triển khai, bạn cần tạo một đối tượng LDAP mới có tên msDS-
PasswordSettings bên dưới nơi lưu trữ Password Settings. Đường dẫn LDAP có
dạng: “cn=Password Settings,cn=System,dc=domainname,dc=com”. Bên dưới đối
tượng mới này, bạn sẽ cần điền thông tin cho các thuộc tính sau:
msDS-PasswordSettingsPrecedence: Đây là một thuộc tính quan trọng, có thể điều
khiển trường hợp một người dùng có tư cách thành viên trong đa nhóm với các
chính sách mật khẩu khác nhau được thiết lập.
msDS-PasswordReversibleEncryptionEnabled: Bật/tắt chức năng để biết liệu
cơ chế mã hoá đảo ngược có được hỗ trợ hay không.
msDS-PasswordHistoryLength: Xác định có bao nhiêu mật khẩu phải là duy
nhất trước khi nó có thể được dùng lại.
msDS-PasswordComplexityEnabled: Thiết lập cơ chế mật khẩu yêu cầu ít nhất 6
ký tự, 3 hay 4 kiểu ký tự và từ chối mật khẩu nào được dùng làm tên đăng nhập.
msDS-MinimumPasswordLength: Thiết lập độ dài nhỏ nhất cho mật khẩu.
msDS-MinimumPasswordAge: Xác định người dùng phải dùng mật khẩu trong
bao lâu trước khi thay đổi nó.
msDS-MaximumPasswordAge: Xác định người dùng có thể dùng mật khẩu
trong bao lâu trước khi chúng được yêu cầu thay đổi.
msDS-LockoutObservationWindow: Xác định khoảng thời gian bộ đếm mật
khẩu sai sẽ được thiết lập lại.
msDS-LockoutDuration: Xác định thời gian bao lâu tài khoản sẽ bị khoá sau quá
nhiều lần nhập mật khẩu sai.
Sau khi các thuộc tính được cấu hình, đối tượng mới sẽ được liên kết với nhóm
mở rộng Active Directory. Chương trình liên kết hoàn chỉnh ở bước thêm tên
LDAP của nhóm vào thuộc tính msDS-PSOAppliesTo.
Tóm tắt
Longhorn sẽ được trình diện với một số thành phần mới, công nghệ mới và
phương thức mới cho hoạt động điều khiển và quản lý đối tượng trong doanh
nghiệp của bạn. Cho đến bây giờ, một trong các thành phàn ấn tượng nhất và
nhanh chóng sẽ trở nên phổ biến là khả năng thiết lập chính sách đa mật khẩu
trong một miền đơn. Có thể trong đầu bạn đã bắt đầu hình suy nghĩ về tác động
của chức năng mới lên môi trường hệ hiện tại của mình và bắt đầu vạch kế hoạch
về cái bạn muốn thực hiện trong một thời gian dài.
