Konfigurasi Langkah demi langkah Fine-Grained Passwords di Windows Server 2008/2008 R2
Pendahuluan – Pada versi Windows Server sebelumnya
Pada Microsoft Windows 2000 dan Windows Server 2003 Active Directory domains, kita hanya dapat menerapkan satu password dan account lockout policy saja, yang ditentukan dalam Default Domain Policy dari suatu domain, ke seluruh users di domain tersebut. Jika kita menginginkan seting password dan account lockout yang berbeda untuk sekumpulan dari user, maka kita harus membuat password filter atau membuat multiple domain.
Fine-Grained Passwords in Windows Server 2008
Pada Windows Server 2008, kita dapat menggunakan fine-grained password policy untuk menentukan multi password policy dan menerapkan berbagai policy untuk password dan account lockout terhadap sejumlah user yang berbeda dalam satu domain. Sebagai contoh, untuk meningkatkan security dari privileged accounts, kita dapat menerapkan seting-seting yang ketat ke privileged accounts tersebut dan menerapkan seting yang kurang ketat ke account dari user lainnya.
Konfigurasi langkah demi langkah Fine-Grained Passwords di Windows Server 2008
Kita asumsikan bahwa kita memiliki sejumlah user yang merupakan Special Administrators dan memerlukan password group policy yang lebih kuat/kompleks daripada user biasa. Kita berikan nama dari group ini: SpecialAdmins
Kita akan mengkonfigurasi sebuah fine-grained password policy di Windows Server 2008 dengan seting-seting sebagai berikut:
Table 1: Password Policy
| Policy Name | Policy Setting |
| Enforce password history | 24 passwords remembered |
| Maximum password age | 30 days |
| Minimum password age | 1 day |
| Minimum password length | 12 characters |
| Passwords must meet complexity requirements | Disabled |
| Account lockout duration | 0 |
| Account lockout threshold | 3 |
| Reset account lockout counter after | 30 minutes |
Note: nama_domain_Anda pada langkah-langkah berikut harus diganti dengan nama NETBIOS dari domain Anda.
- Logon ke Windows Server 2008 domain controller dengan menggunakan account yang memiliki keanggotaan di dalam group Domain Admins , atau permission yang ekivalen.
- Klik Start, Administrative Tools, dan kemudian pilih Active Directory Users and Computers
- Buka nama_domain_Anda.com, klik-kanan kontainer Users, pilih New, dan kemudian pilih Group.
- Pada window New Object - Group, masukkan SpecialAdmins kedalam isian Group Name, dan kemudian klik OK
- Tutup Active Directory Users and Computers
- Klik Start, klik RUN, ketikkan ADSIEDIT.MSC, dan kemudian klik OK
- Di dalam snap-in ADSI Edit, klik-kanan ADSI Edit, dan kemudian klik Connect to
- Di dalam isian Name, masukkan nama_domain_Anda.com, dan kemudian klik OK
- Klik ganda nama_domain_Anda.<topleveldomain> pada console tree, klik ganda DC=nama_domain_Anda,DC=com, klik ganda CN=System, dan kemudian klik CN=Password Settings Container
- Klik-kanan CN=Password Settings Container di dalam console tree, klik New, dan kemudian klik Object
- Di dalam kotak dialog Create Object, di bawah Select a class, klik msDC-PasswordSettings, dan kemudian klik Next.
- Di dalam kotak dialog Create Object, masukkan SpecialAdmins pada isian Value, dan kemudian klik Next.
- Untuk Value dari msDS-PasswordSettingsPrecedence, masukkan 1, dan kemudian klik Next
- Untuk value dari msDS-PasswordReversibleEncryptionEnabled, masukkan false, dan kemudian klik Next
- Untuk value dari msDS-PasswordHistoryLength, masukkan 24, dan kemudian klik Next
- Untuk value dari msDS-PasswordComplexityEnabled, masukkan false, dan kemudian klik Next
- Untuk value dari msDS-MinimumPasswordLength, masukkan 12, dan kemudian klik Next
- Untuk value msDS-MinimumPasswordAge, masukkan 1:00:00:00, dan kemudian klik Next
- Untuk value msDS-MaximumPasswordAge, masukkan 30:00:00:00, dan kemudian klik Next
- Untuk value msDS-LockoutThreshold, masukkan 3, dan kemudian klik Next
- Untuk value msDS-LockoutObservationWindow, masukkan 0:00:30:00, dan kemudian klik Next
- Untuk value msDS-LockoutDuration, ketikkan (never), dan kemudian klik Next, kemudian klik Finish
- Klik-kanan pada CN=SpecialAdmins di dalam console tree, dan kemudian pilih Properties
- Pada window CN=SpecialAdmins Properties, pilih atribut msDS-PSOAppliesTo, dan kemudian klik tombol Edit
- Pada window Multi-valued Distinguished Name With Security Principal Editor, klik tombol Add Windows Account
- Pada window Select Users, Computers, or Groups, masukkan SpecialAdmins di dalam isian Enter the object names to select, dan kemudian klik OK
- Klik OK pada window Multi-valued Distinguished Name With Security Principal Editor
- Klik OK pada window CN=SpecialAdmins Properties
Kesimpulan
Pedoman konfigurasi langkah demi langkah ini menunjukkan proses dalam bagaimana mengkonfigurasi fine-grained passwords di Windows Server 2008. Kita dapat mendefinsikan sejumlah seting password yang berbeda dan menerapkannya ke sebuah group Active Directory. Ketika semua itu telah dilakukan maka seluruh anggota dari group tersebut terkena dampak dari penerapan password policy yang kita definisikan.
Referensi
AD DS Fine-Grained Password and Account Lockout Policy
http://technet.microsoft.com/en-us/library/cc770842.aspx
Active Directory Domain Services
http://technet.microsoft.com/en-us/library/cc770357.aspx
Windows Domain Password Policies
http://technet.microsoft.com/en-us/magazine/cc137749.aspx