কম্পিউটার

সক্রিয় ডিরেক্টরিতে একটি ডোমেন পাসওয়ার্ড নীতি কনফিগার করা

অ্যাক্টিভ ডিরেক্টরি ডোমেনে ব্যবহারকারী অ্যাকাউন্টগুলির জন্য উচ্চ স্তরের নিরাপত্তা নিশ্চিত করতে, একজন প্রশাসককে অবশ্যই একটি ডোমেন পাসওয়ার্ড নীতি কনফিগার এবং প্রয়োগ করতে হবে। পাসওয়ার্ড নীতিতে যথেষ্ট জটিলতা, পাসওয়ার্ডের দৈর্ঘ্য এবং ব্যবহারকারী এবং পরিষেবা অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তনের ফ্রিকোয়েন্সি প্রদান করা উচিত। এইভাবে, আপনি আক্রমণকারীর পক্ষে নেটওয়ার্কের মাধ্যমে পাঠানোর সময় ব্রুট-ফোর্স করা বা ব্যবহারকারীর পাসওয়ার্ড ক্যাপচার করা কঠিন করে তুলতে পারেন।

ডিফল্ট ডোমেন নীতিতে পাসওয়ার্ড নীতি

ডিফল্টরূপে, AD ডোমেনে ব্যবহারকারীর পাসওয়ার্ডের জন্য সাধারণ প্রয়োজনীয়তা সেট করতে গ্রুপ নীতি (GPO) সেটিংস ব্যবহার করা হয়। ডোমেন ব্যবহারকারীর অ্যাকাউন্টগুলির পাসওয়ার্ড নীতি ডিফল্ট ডোমেন নীতিতে কনফিগার করা হয়েছে . এই নীতিটি ডোমেনের রুটের সাথে সংযুক্ত এবং PDC এমুলেটর ভূমিকা সহ একটি ডোমেন কন্ট্রোলারে প্রয়োগ করা আবশ্যক৷

  1. AD অ্যাকাউন্টের পাসওয়ার্ড নীতি কনফিগার করতে, গ্রুপ পলিসি ম্যানেজমেন্ট খুলুন কনসোল (gpmc.msc );
  2. আপনার ডোমেন প্রসারিত করুন এবং ডিফল্ট ডোমেন নীতি নামের GPO খুঁজুন . এটিতে ডান ক্লিক করুন এবং সম্পাদনা করুন নির্বাচন করুন৷; সক্রিয় ডিরেক্টরিতে একটি ডোমেন পাসওয়ার্ড নীতি কনফিগার করা
  3. পাসওয়ার্ড নীতিগুলি নিম্নলিখিত GPO বিভাগে অবস্থিত:কম্পিউটার কনফিগারেশন-> নীতিগুলি-> Windows সেটিংস->নিরাপত্তা সেটিংস -> অ্যাকাউন্ট নীতি -> পাসওয়ার্ড নীতি;
  4. এটি সম্পাদনা করতে একটি নীতি সেটিংসে ডাবল ক্লিক করুন৷ একটি নির্দিষ্ট নীতি সেটিং সক্ষম করতে, এই নীতি সেটিংস সংজ্ঞায়িত করুন চেক করুন৷ এবং প্রয়োজনীয় মান নির্দিষ্ট করুন (নীচের স্ক্রিনশটে, আমি ন্যূনতম পাসওয়ার্ড দৈর্ঘ্য 8 অক্ষরে সেট করেছি)। পরিবর্তনগুলি সংরক্ষণ করুন; সক্রিয় ডিরেক্টরিতে একটি ডোমেন পাসওয়ার্ড নীতি কনফিগার করা
  5. নতুন পাসওয়ার্ড নীতি সেটিংস কিছু সময়ের মধ্যে (90 মিনিট) পটভূমিতে থাকা সমস্ত ডোমেন কম্পিউটারে প্রয়োগ করা হবে, কম্পিউটার বুট করার সময়, অথবা আপনি gpupdate /force চালিয়ে নীতিটি অবিলম্বে প্রয়োগ করতে পারেন। আদেশ।

আপনি GPO ম্যানেজমেন্ট কনসোল থেকে বা PowerShell cmdlet Set-ADDefaultDomainPasswordPolicy ব্যবহার করে পাসওয়ার্ড নীতি সেটিংস পরিবর্তন করতে পারেন:

Set-ADDefaultDomainPasswordPolicy -Identity woshub.com -MinPasswordLength 10 -LockoutThreshold 3

উইন্ডোজে মৌলিক পাসওয়ার্ড নীতি সেটিংস

আসুন সমস্ত উপলব্ধ উইন্ডোজ পাসওয়ার্ড সেটিংস বিবেচনা করি। জিপিওতে ছয়টি পাসওয়ার্ড সেটিংস রয়েছে:

  • পাসওয়ার্ড ইতিহাস প্রয়োগ করুন - AD এ সংরক্ষিত পুরানো পাসওয়ার্ডের সংখ্যা নির্ধারণ করে, এইভাবে ব্যবহারকারীকে একটি পুরানো পাসওয়ার্ড ব্যবহার করা থেকে বিরত রাখে। যাইহোক, যে ডোমেন প্রশাসক বা ব্যবহারকারীকে AD এ পাসওয়ার্ড রিসেট করার অনুমতি দেওয়া হয়েছে তারা ম্যানুয়ালি অ্যাকাউন্টের জন্য পুরানো পাসওয়ার্ড সেট করতে পারেন;
  • সর্বোচ্চ পাসওয়ার্ড বয়স - কয়েক দিনের মধ্যে পাসওয়ার্ডের মেয়াদ নির্ধারণ করে। পাসওয়ার্ডের মেয়াদ শেষ হওয়ার পরে, উইন্ডোজ ব্যবহারকারীকে পাসওয়ার্ড পরিবর্তন করতে বলবে। ব্যবহারকারীদের দ্বারা পাসওয়ার্ড পরিবর্তনের নিয়মিততা নিশ্চিত করে; আপনি PowerShell ব্যবহার করে একটি নির্দিষ্ট ব্যবহারকারীর পাসওয়ার্ডের মেয়াদ শেষ হলে জানতে পারেন:Get-ADUser -Identity j.werder -Properties msDS-UserPasswordExpiryTimeComputed | select-object @{Name="ExpirationDate";Expression= {[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed") }}
  • সর্বনিম্ন পাসওয়ার্ড দৈর্ঘ্য – এটি সুপারিশ করা হয় যে পাসওয়ার্ডগুলিতে কমপক্ষে 8টি চিহ্ন থাকা উচিত (যদি আপনি এখানে 0 উল্লেখ করেন তবে পাসওয়ার্ডের প্রয়োজন নেই);
  • নূন্যতম পাসওয়ার্ড বয়স - ব্যবহারকারীরা কত ঘন ঘন তাদের পাসওয়ার্ড পরিবর্তন করতে পারে তা সেট করে। এই সেটিং ব্যবহারকারীকে পাসওয়ার্ডের ইতিহাস থেকে একটি সারিতে একাধিকবার পরিবর্তন করার পরে পাসওয়ার্ডের ইতিহাস থেকে অপসারণ করে তাদের পছন্দের একটি পুরানো পাসওয়ার্ডে ফিরে যেতে ঘন ঘন পাসওয়ার্ড পরিবর্তন করার অনুমতি দেবে না। একটি নিয়ম হিসাবে, এখানে 1 দিন সেট করা মূল্যবান যাতে ব্যবহারকারীরা একটি পাসওয়ার্ড আপস করলে তা পরিবর্তন করতে পারেন (অন্যথায় একজন প্রশাসককে এটি পরিবর্তন করতে হবে);
  • পাসওয়ার্ড অবশ্যই জটিলতার প্রয়োজনীয়তা পূরণ করবে – যদি নীতিটি সক্ষম করা থাকে, একজন ব্যবহারকারী পাসওয়ার্ডে অ্যাকাউন্টের নাম ব্যবহার করতে পারবেন না (একটি username এর 2টির বেশি প্রতীক নয় অথবা Firstname একটি সারিতে), এছাড়াও পাসওয়ার্ডে 3 ধরনের প্রতীক ব্যবহার করতে হবে:সংখ্যা (0-9), বড় হাতের অক্ষর, ছোট হাতের অক্ষর এবং বিশেষ অক্ষর ($, #, %, ইত্যাদি)। এছাড়াও, দুর্বল পাসওয়ার্ড ব্যবহার রোধ করতে (পাসওয়ার্ড অভিধান থেকে), এটি নিয়মিতভাবে AD ডোমেনে ব্যবহারকারীর পাসওয়ার্ড অডিট করার সুপারিশ করা হয়;
  • প্রত্যাবর্তনযোগ্য এনক্রিপশন ব্যবহার করে পাসওয়ার্ড সংরক্ষণ করুন - ব্যবহারকারীর পাসওয়ার্ডগুলি AD ডাটাবেসে এনক্রিপ্ট করা হয়, তবে কিছু ক্ষেত্রে আপনাকে কিছু অ্যাপে ব্যবহারকারীর পাসওয়ার্ডগুলিতে অ্যাক্সেস দিতে হবে। যদি এই নীতি সেটিং সক্ষম করা থাকে, পাসওয়ার্ডগুলি কম সুরক্ষিত থাকে (প্রায় সাধারণ পাঠ্য)। এটি নিরাপদ নয় (ডিসি আপস করা হলে একজন আক্রমণকারী পাসওয়ার্ড ডাটাবেসে অ্যাক্সেস পেতে পারে; একটি শুধুমাত্র-পঠনযোগ্য ডোমেন কন্ট্রোলার (RODC) সুরক্ষা ব্যবস্থাগুলির মধ্যে একটি হিসাবে ব্যবহার করা যেতে পারে)।

যদি একজন ব্যবহারকারী ডোমেনের পাসওয়ার্ড নীতির সাথে মেলে না এমন একটি পাসওয়ার্ড পরিবর্তন করার চেষ্টা করে, তাহলে ত্রুটি বার্তাটি প্রদর্শিত হবে:

পাসওয়ার্ড আপডেট করতে অক্ষম। নতুন পাসওয়ার্ডের জন্য প্রদত্ত মানটি ডোমেনের দৈর্ঘ্য, জটিলতা বা ইতিহাসের প্রয়োজনীয়তা পূরণ করে না৷

সক্রিয় ডিরেক্টরিতে একটি ডোমেন পাসওয়ার্ড নীতি কনফিগার করা

অতিরিক্তভাবে, নিম্নলিখিত পাসওয়ার্ড সেটিংস GPO বিভাগে কনফিগার করা উচিতঅ্যাকাউন্ট লকআউট পাসওয়ার্ড :

  • অ্যাকাউন্ট লকআউট থ্রেশহোল্ড - ব্যবহারকারী তার অ্যাকাউন্ট লকআউট করার আগে (ভুল পাসওয়ার্ড সহ) ব্যর্থ সাইন-ইন প্রচেষ্টার সংখ্যা তৈরি করতে পারে;
  • অ্যাকাউন্ট লকআউটের সময়কাল – ব্যবহারকারী যদি একাধিকবার ভুল পাসওয়ার্ড দিয়ে থাকেন তাহলে কতক্ষণ অ্যাকাউন্ট লক করা হবে;
  • এর পরে অ্যাকাউন্ট লকআউট কাউন্টার পুনরায় সেট করুন৷ – কত মিনিটের পরে অ্যাকাউন্ট লকআউট থ্রেশহোল্ড কাউন্টার রিসেট করা হবে।
যদি নির্দিষ্ট ডোমেন অ্যাকাউন্টটি প্রায়শই লক আউট হয়, আপনি এই পদ্ধতিটি ব্যবহার করে অ্যাকাউন্ট লকআউটের উত্স সনাক্ত করতে পারেন।

AD ডোমেনে পাসওয়ার্ড নীতির ডিফল্ট সেটিংস নীচের সারণীতে তালিকাভুক্ত করা হয়েছে:

নীতি ডিফল্ট মান
পাসওয়ার্ড ইতিহাস প্রয়োগ করুন 24 পাসওয়ার্ড
সর্বোচ্চ পাসওয়ার্ড বয়স 42 দিন
সর্বনিম্ন পাসওয়ার্ড বয়স 1 দিন
সর্বনিম্ন পাসওয়ার্ড দৈর্ঘ্য 7
পাসওয়ার্ড অবশ্যই জটিলতার প্রয়োজনীয়তা পূরণ করবে সক্ষম
প্রত্যাবর্তনযোগ্য এনক্রিপশন ব্যবহার করে পাসওয়ার্ড সংরক্ষণ করুন অক্ষম
অ্যাকাউন্ট লকআউটের সময়কাল সেট করা হয়নি
অ্যাকাউন্ট লকআউট থ্রেশহোল্ড 0
এর পরে অ্যাকাউন্ট লকআউট কাউন্টার পুনরায় সেট করুন সেট করা হয়নি

নিরাপত্তা কমপ্লায়েন্স টুলকিটে, Microsoft নিম্নলিখিত পাসওয়ার্ড নীতি সেটিংস ব্যবহার করার পরামর্শ দেয়:

  • পাসওয়ার্ড ইতিহাস প্রয়োগ করুন:24
  • সর্বোচ্চ পাসওয়ার্ড বয়স:সেট করা হয়নি
  • সর্বনিম্ন পাসওয়ার্ড বয়স:সেট করা হয়নি
  • সর্বনিম্ন পাসওয়ার্ড দৈর্ঘ্য:14
  • পাসওয়ার্ড অবশ্যই জটিলতা পূরণ করবে:সক্রিয়
  • প্রত্যাবর্তনযোগ্য এনক্রিপশন ব্যবহার করে পাসওয়ার্ড সংরক্ষণ করুন:নিষ্ক্রিয়
একটি সাম্প্রতিক নিরাপত্তা বেসলাইন 1903 সুপারিশে, মাইক্রোসফ্ট উল্লেখ করেছে যে ব্যবহারকারীদের জন্য পাসওয়ার্ড মেয়াদ শেষ হওয়ার নীতি সক্ষম করার প্রয়োজন নেই। পাসওয়ার্ড মেয়াদোত্তীর্ণ নিরাপত্তা বৃদ্ধি করে না, তবে শুধুমাত্র অপ্রয়োজনীয় সমস্যা তৈরি করে (লিঙ্ক)।

এডি ডোমেনে বর্তমান পাসওয়ার্ড নীতি কীভাবে পরীক্ষা করবেন?

আপনি gpmc.msc-এ ডিফল্ট ডোমেন নীতিতে বর্তমান পাসওয়ার্ড নীতি সেটিংস দেখতে পারেন কনসোল (সেটিংস ট্যাবে)।

সক্রিয় ডিরেক্টরিতে একটি ডোমেন পাসওয়ার্ড নীতি কনফিগার করা

এছাড়াও আপনি PowerShell ব্যবহার করে পাসওয়ার্ড নীতি তথ্য প্রদর্শন করতে পারেন (এডি পাওয়ারশেল মডিউলটি কম্পিউটারে ইনস্টল করা আবশ্যক):

Get-ADDefaultDomainPasswordPolicy

সক্রিয় ডিরেক্টরিতে একটি ডোমেন পাসওয়ার্ড নীতি কনফিগার করা

জটিলটিইড নাম:DC =Woshub, DC =ComlockoutdOW:00:20:00LOCKOUTTHORSHONDOWHON:0MAXPASSWARDAWED:60.00:00:00minpasswordage:1.00:00:00minpasswordlenght:8bjectwordlenght:মিথ্যা

এছাড়াও, আপনি gpresult কমান্ড ব্যবহার করে যেকোনো ডোমেন কম্পিউটারে বর্তমান AD পাসওয়ার্ড নীতি সেটিংস পরীক্ষা করতে পারেন।

একটি সক্রিয় ডিরেক্টরি ডোমেনে একাধিক পাসওয়ার্ড নীতি

ডোমেন কন্ট্রোলার, PDC এমুলেটর FSMO ভূমিকার মালিক, ডোমেন পাসওয়ার্ড নীতি পরিচালনার জন্য দায়ী। ডিফল্ট ডোমেন নীতি সম্পাদনা করতে ডোমেন প্রশাসকের অধিকার প্রয়োজন সেটিংস।

প্রাথমিকভাবে, ডোমেনে শুধুমাত্র একটি পাসওয়ার্ড নীতি থাকতে পারে, যা ডোমেন রুটে প্রয়োগ করা হয় এবং ব্যতিক্রম ছাড়াই সমস্ত ব্যবহারকারীকে প্রভাবিত করে (কিছু সূক্ষ্মতা আছে, তবে আমরা সেগুলি সম্পর্কে পরে কথা বলব)। এমনকি যদি আপনি ভিন্ন পাসওয়ার্ড সেটিংস সহ একটি নতুন GPO তৈরি করেন এবং এনফোর্সড এবং ব্লক ইনহেরিটেন্স প্যারামিটার সহ নির্দিষ্ট OU-তে এটি প্রয়োগ করেন তবে এটি ব্যবহারকারীদের জন্য প্রযোজ্য হবে না৷

ডোমেন পাসওয়ার্ড নীতি শুধুমাত্র ব্যবহারকারী AD অবজেক্টকে প্রভাবিত করে। ডোমেন বিশ্বাসের সম্পর্ক প্রদানকারী কম্পিউটার পাসওয়ার্ডগুলির নিজস্ব GPO সেটিংস রয়েছে৷

উইন্ডোজ সার্ভার 2008-এ সক্রিয় ডিরেক্টরির আগে, প্রতি ডোমেনে শুধুমাত্র একটি পাসওয়ার্ড নীতি কনফিগার করা যেত। AD এর নতুন সংস্করণে, আপনি ফাইন-গ্রেইনড পাসওয়ার্ড পলিসিস (FGPP) ব্যবহার করে বিভিন্ন ব্যবহারকারী বা গোষ্ঠীর জন্য একাধিক পাসওয়ার্ড নীতি তৈরি করতে পারেন। দানাদার পাসওয়ার্ড নীতিগুলি আপনাকে বিভিন্ন পাসওয়ার্ড সেটিংস অবজেক্ট (PSOs) তৈরি এবং প্রয়োগ করতে দেয়। উদাহরণস্বরূপ, আপনি ডোমেন অ্যাডমিন অ্যাকাউন্টগুলির জন্য বর্ধিত পাসওয়ার্ডের দৈর্ঘ্য বা জটিলতা সহ একটি PSO তৈরি করতে পারেন (এডি ডোমেনে প্রশাসক অ্যাকাউন্টগুলি সুরক্ষিত করা নিবন্ধটি দেখুন), বা কিছু অ্যাকাউন্টের পাসওয়ার্ডগুলি আরও সহজ বা এমনকি সম্পূর্ণরূপে অক্ষম করতে পারেন৷

সক্রিয় ডিরেক্টরিতে একটি ডোমেন পাসওয়ার্ড নীতি কনফিগার করা

একটি ওয়ার্কগ্রুপ পরিবেশে, আপনাকে স্থানীয় GPO সম্পাদক – gpedit.msc ব্যবহার করে প্রতিটি কম্পিউটারে পাসওয়ার্ড নীতিগুলি কনফিগার করতে হবে, অথবা আপনি এই পদ্ধতি ব্যবহার করে কম্পিউটারগুলির মধ্যে স্থানীয় GPO নীতি সেটিংস স্থানান্তর করতে পারেন৷


  1. উইন্ডোজ 10 এ স্ক্রিনসেভারকে কীভাবে পাসওয়ার্ড সুরক্ষিত করবেন?

  2. সক্রিয় ডিরেক্টরি ডোমেন কন্ট্রোলারের সাথে যোগাযোগ করা যায়নি

  3. সক্রিয় ডিরেক্টরি ডোমেন পরিষেবাগুলি বর্তমানে অনুপলব্ধ ঠিক করুন৷

  4. কিভাবে ডোমেনে পাসওয়ার্ডের মেয়াদ 2012/2016 পরিবর্তন বা নিষ্ক্রিয় করবেন।