Fine-Grained Password Policies

기존의 ActiveDirectory DomainService에서는 하나의 도메인에는 오직 하나의 password policy와 account lockout policy를 적용할 수 있었으나, 윈도우 서버 2008에서부터는 Fine-Grained Password Policies를 통해 같은 도메인에서 여러 password policy를 설정할 수 있다.

기존에는 도메인으로만 적용되었기 때문에 자식도메인을 만들어서 각각 구성하였었다.

예) 관리자는 패스워드를 7일 간격, 관리자는 14일 간격, 사용자는 30일 간격으로 패스워드를 변경하도록 Policy를 설정할 수 있다.

Fine-Grained password policies를 저장하기 위해서, Windows Server 2008은 Active Directory 스키마에 PSC, PSO라는 2개의 객체를 생성하였다.

PSC(Password Setting Container)는 도메인의 System 컨테이너 하부에 기본으로 생성이 되며, 도메인의 PSO들을 저장하는 기능을 한다. PSC를 변경, 이동, 삭제할 수 없다.

PSO(Password Setting Objects)는 Group Policy에서 설정할 수 있는 패스워드에 관련된 모든 항목에 대해 설정할 수 있는 속성을 가지고 있으며, ADSI Edit나 LDIFDE를 통해서 만들 수 있다.

PSO는 사용자나 글로벌 그룹에 적용할 수 있다.

zemna

Programmer/Web/Mobile/Desktop

You may also like...

Leave a Reply