Ці параметри політики за замовчуванням застосовуються до всіх облікових записів домену та користувачів, пов'язаних з доменом. Викликано це тим, як групова політика успадковує параметр в структурі Active Directory. Щоб краще зрозуміти, як ці політики впливають на облікові записи домену і локальних користувачів, потрібно розібратися, де ці політики встановлюються і як наслідування групової політики впливає на всі облікові записи. (Зверніть увагу, що параметри політики Kerberos застосовуються тільки до облікових записів користувачів домену, оскільки Kerberos використовується для перевірки автентичності тільки обліковими записами домену. Локальні облікові записи використовують для перевірки справжності NTLMv2, NTLM або LM.)
Параметри в цьому об'єкті групової політики керують політиками облікових записів для всіх облікових записів користувачів домену і для всіх комп'ютерів домену. Зверніть увагу, що на всіх комп'ютерах домену (як настільних ПК, так і серверах) є локальний диспетчер облікових записів безпеки (SAM). Цей диспетчер керується параметрами в об'єкті групової політики. Крім того, локальний диспетчер SAM містить локальні облікові записи користувачів для кожного комп'ютера.
Параметри політики домену за замовчуванням впливають на всі комп'ютери домену за допомогою успадкування об'єктів групової політики в структурі Active Directory. Оскільки даний об'єкт групової політики пов'язаний з вузлом домену, від нього будуть залежати всі облікові записи комп'ютерів домену.
Що не можна зробити з поточними політиками паролів
Наприклад, багато адміністраторів вважають, що для користувачів одного домену може бути кілька політик паролів. Вони припускають, що можна створити об'єкт групової політики і пов'язати його з підрозділом. Ідея полягає в тому, щоб перемістити облікові записи в підрозділ, щоб на них впливав об'єкт групової політики. Усередині об'єкту групової політики змінюються політики облікових записів і створюється більш безпечна політика паролів, наприклад шляхом зазначення максимальної довжини паролів рівній 14 знаків. Однак по ряду причин така конфігурація не дасть бажаного результату. По-перше, параметри політики паролів засновані на комп'ютерах, а не на користувачах. З цієї причини вони не будуть впливати на облікові записи користувачів. По-друге, єдиний спосіб зміни параметрів політики облікових записів для облікового запису користувача домену забезпечується об'єктом групової політики, пов'язаним з доменом. Об'єкти групової політики, пов'язані з підрозділами, які налаштовані для зміни політик облікових записів, змінять локальний диспетчер облікових записів безпеки комп'ютерів, що знаходяться в підрозділі або у вкладених підрозділах пов'язаного підрозділу.
Друге невірне припущення полягає в тому, що параметри політик облікових записів, встановлених в кореневому домені (початковому домені лісу Active Directory) будуть успадковані дочірніми доменами лісу. Це не вірно. Змусити параметри працювати таким чином - неможливо. Об'єкти групової політики, пов'язані з доменом і підрозділами всередині одного домену, не вплинуть на об'єкти в іншому домені, навіть якщо домен зі зв'язаними об'єктами групової політики є кореневим. Єдиний спосіб поширення параметрів об'єктів групової політики в різних доменах - зв'язати об'єкти групової політики з сайтами Active Directory.
Як обробляються паролі
Як можна побачити, всі параметри групової політики, які стосуються параметрам політики облікових записів, продубльовані у вигляді атрибутів. Слід врахувати, що потрібно встановити і пріоритет. Це необхідно для застосування декількох політик паролів в одному домені, оскільки неминуче виникнуть конфлікти між політиками, і буде потрібно механізм для їх усунення.
Вказівка на параметри політики облікових записів
Для кожного створюваного об'єкта слід заповнити всі атрибути, щоб політика облікових записів застосовувалася до кожного користувача. Є один новий атрибут msDS-PSOAppliesTo, що визначає, до яких об'єктом буде застосований набір параметрів політики. Це найважливіший атрибут, за допомогою якого можна встановити різні параметри для різних користувачів. Цей атрибут застосовується до списку, в якому можуть знаходитися як користувачі, так і групи, проте рекомендується використовувати групи замість окремих користувачів, як і у всіх інших випадках при роботі зі списками управління доступом. Групи стабільніше, наочніше і набагато простіше в управлінні.
Багато років всім нам хотілося використовувати різні політики паролів всередині одного домену Active Directory, і тепер це нарешті можливо. Більше не потрібно застосовувати для всіх користувачів цілого домену один і той же рівень безпеки в тому, що стосується паролів. Тепер, наприклад, можна налаштувати параметри так, щоб у звичайних користувачів були паролі довжиною 8 знаків, а у ІТ-фахівців (у яких можуть бути права адміністраторів) - паролі довжиною 14 знаків.