Fikk spørsmål om Shadow Group i Active Directory 2008 – hva er det?

By , 7 september, 2009 00:12

Jeg hadde ingen god forklaring der og da, så jeg fant ut at her måtte jeg spørre en kompis som heter Google. Google ga heller ikke noe klart svar og Googles (u)venn Bing likeså. Fant derfor ut at jeg måtte gjøre et dypdykk og tror jeg til slutt klarte å finne rett tolkning av Shadow Group.

 -          Først litt om “Fine-Grained Password Policies” (domain functional level Windows Server 2008)

  • ØNSKE: De fleste har en gruppe brukerer i  AD som de ønsker å kunne tilegne egne passordregler med høyere eller lavere krav i forhold til andre brukergrupper. (Administrator kontoer etc..)
  • FØR: I AD før WS2008 functional level ble regler for passord på brukerobjekter i domenet satt gjennom “Default Domain Policy GPO”. Samtlige brukere i domenet har da samme policy for passordregler og “account lockout”. (Det er mulig å få til løsninger rundt dette også i eldre AD, men ingen gode løsninger)
  • NÅ:  I WS2008 AD DS kan man bruke Fine-Grained Password Policies for å sette forskjellige passordregler.
    • Krav for å ta i bruk Fine-Grained password policies:
      • Domain functional lever WS2008
      • Fine-Grained Password Policies kan bare settes på bruker objekter og globale sikkerhetsgrupper
      • Man kan ikke legge en Fine-Grained Password Policy på en OU.

De fleste har brukerkontoer fordelt i forskjellige OUer. Siden man ikke kan sette Fine-Grained Password Policy på en OU er det beste praksis å opprette en global sikkerhetsgruppe med samme navn som OUen, for så å tilegne denne gruppa Fine-Grained Password Policy og melde bruker objekter fra OUen inn i denne gruppa. Denne type gruppe kalles for en SHADOW GROUP.

Hva må man tenke på før man planlegger bruk av Fine-Grained Password Policies:

  • Hvor mange forskjellige passord policies er det behov for?
  • Hvilke spesielle passord egenskaper  og “account lockout” regler er det behov for?
  • Hvilke sikkerhetsgrupper skal man linke de nye passord reglene til?

 

For å bestemme egenskapene til passordene som skal brukes opprettes “Password Settings Object” (PSO) i konteineren “Password Settings Container” under “System”. Opprettelsen av PSO gjøres i ADSI edit eller skriptes med Ldifde kommandoer. I skjermbildet over er den golbale sikkerhetsgruppen “Brukere Lillehammer” en Shadow Group.

Dersom man ikke linker inn en PSO mot et brukerobjekt eller gruppe, blir “default domain policy GPO” benyttet.

For å se resultatet av en PSO for en bruker kan man bruke kommandoen:
dsget user <User-DN> -effectivepso

Se tabell for egenskaper som kan settes i en PSO her: http://technet.microsoft.com/en-us/library/cc754461(WS.10).aspx Se spessielt  “msDS-PasswordSettingsPrecedence” som sier noe om hvilken PSO som skal få prioritet dersom et objekt har flere tildelte PSO.

Post to Twitter Post to Facebook Post to LinkedIn

Panorama Theme by Themocracy