Organisatsioonides on kriitiliste kontode (nagu teenusekontod) turvalisus oluline. Soovitatav on koondada need kontod turvagruppi ja rakendada sellele grupile spetsiaalselt loodud paroolipoliitikat.
Soovitatavad seaded on järgmised. Pärast seadete tegemist piisab grupi lisamisest Directly Applies To osast.
Kui soovite seda poliitikat rakendada domeeni tasemel kõigile kasutajatele, võite luua uue GPO ja määratleda selle kasutajatele.
Märkus: GPO kaudu koostatud poliitikas ei saa minimaalne märkide arv olla üle 14. Kui soovite, et see oleks üle 14 märgi, tuleb see muudatus teha Administrative Centerist nagu esimeses näites.
Pärast selle GPO määratlemist kasutajatele, kui soovite sundida neid järgmisel sisselogimisel parooli muutma, võite saata selle valitud OU-sse järgmise käsuga.
Get-ADUser -Filter * -SearchBase “OU=OU NIMI,DC=DOMEEN,DC=COM/LOCAL” | Set-ADUser -CannotChangePassword:$false -PasswordNeverExpires:$false -ChangePasswordAtLogon:$true
Selle käsu sisestamisel märgitakse teie määratletud OU-sse kuuluvate kasutajate “User must change password at next logon” linnuke ja nad peavad järgmisel sisselogimise taotlusel oma paroole muutma.
Teenusekontode (nagu SQL Agent) paroole tavaliselt pärast paigaldamist ei muudeta. Selle kontrolli saab teha PowerShellist järgmise käsuga:
net user <teenusekonto nimi> /do
Pikka aega muutmata teenusekontode paroole võib ründaja murda. Soovitatav on muuta nende teenusekontode paroole iga 6 kuu või aasta tagant.
