Windows (Blaž Merkač)

Iz MaFiRaWiki

Vsebina

Opis

Naslov: Nastavitev sistemskih pravic za gesla na domeni (Windows server 2003).

  • Prikazali bomo, kakšne so možnosti nastavljanja in kako nastaviti gesla na domeni.


Snemalna knjiga

  • Smo na namizju Windows 2003 strežnika, vsi programi (okna) so zaprti.
  • SPOROČILO: Nastavitve za gesla na domeni. [gumb Naprej, brez kazalca]
  • SPOROČILO: Zaženimo administrativno orodje za konfiguracijo gesel. [kazalec na Start | Administrative Tools | Domain Security Policy.]
  • odpre se program
  • SPOROČILO: Izberimo Account Policies. [Naprej, kazalec na Account Policies]
  • SPOROČILO: Izberimo Password Policies.[3 sekunde, kazalec na Password Policies].
  • Z rdečo je obkroženih vseh šest vrst nastavitev.
  • SPOROČILO: Odpre se nam šest vrst konfiguracije. Poglejmo si prvo vrsto. [naprej, kazalec na "Enforce password history".]
  • SPOROČILO: Odprimo.
  • Z rdečo je obkrožena kljukica in stavek "Define this policy setting".
  • SPOROČILO: Pri vsaki vrsti nastavitve imamo možnost izbire ali bomo sploh definirali (uporabili) to vrsto nastavitve. [10 sekund]
  • Z rdečo je obkrožena kljukica ter zavihek "Explain This Setting".
  • SPOROČILO: Če želimo o nastavitvi izvedeti več, si lahko preberemo tudi njeno razlago [7 sekund, kazalec odpre zavihek "Explain this setting", pavza 6 sekund - in potem zopet odpre glavni zavihek]
  • SPOROČILO: Pri tej vrsti nastavitve imamo možnost nastaviti, koliko gesel si računalnik zapomni (od 0 do maksimalno 24). To pomeni, da si uporabnik, ko mu geslo preteče, ne more nastaviti zopet svojega starega gesla. To se lahko ponovi največ 24-krat, potem pa si uporabnik lahko zopet nastavi svoje staro geslo.[naprej, kazalec na OK]
  • SPOROČILO: Ko smo z nastavitvami končali, pritisnemo OK. [pavza 4 sekunde]
  • Smo v glavnem oknu.
  • SPOROČILO: Poglejmo si drugo vrsto nastavitve [kazalec na "Maximum password age"]
  • SPOROČILO: Odprimo.
  • SPOROČILO: Tukaj imam možnost nastavljati, po kolikih dneh bo geslo uporabnika poteklo in ga bo ta moral zamenjati. Maksimalno število dni je 999, če vpišemo 0, pa geslo ne bo poteklo nikoli.[naprej, kazalec na OK]
  • Smo v glavnem oknu.
  • SPOROČILO: Tretja možnost. [kazalec na "Minimum password age"]
  • Odpre se novo okno.
  • SPOROČILO: Pri tej nastavitvi lahko nastavimo, koliko časa mora uporabnik obdržati geslo, predenj ga lahko zamenja. Izbira je smiselna, kadar ne dovolimo, da uporabnik uporablja stara gesla – sicer bi s hitrim zaporedjem zamenjav brez težav prišel nazaj do starega gesla. [naprej, kazalec na OK]
  • Smo v glavnem oknu.
  • SPOROČILO: Četrta možnost. [kazalec na "Minimum password lenght"]
  • Odpre se novo okno.
  • SPOROČILO: Tukaj imamo možnost nastavljanja dolžine gesel (od 0-brez gesla do 14 znakov). Priporočljivo je, da gesla naj ne bi imela manj kot 8 znakov. [naprej, kazalec na OK]
  • Smo v glavnem oknu.
  • SPOROČILO: Peta možnost. [kazalec na "Password must meet complexity requirements"]
  • Odpre se novo okno.
  • SPOROČILO: Če pri tej nastavitvi izberemo možnost "Enabled" (omogočeno), potem sistem ob spremembi gesla preveri, če je geslo dovolj "močno" (kompleksno). Če ni, ga zavrne in uporabnik mora izbrati drugačno geslo. O kriterijih za kompleksnost gesla si lahko preberete več v zavihku "Explain This Setting."[naprej, kazalec na OK].
  • Smo v glavnem oknu.
  • SPOROČILO: Šesta možnost. [kazalec na "Store password using reversible encryption"]
  • Odpre se novo okno.
  • SPOROČILO: Pri tej nastavitvi lahko izbiramo ali naj si sistem zapomni in shrani naše geslo. Te možnosti naj zaradi varnosti ne bi imeli vklopljene nikoli, razen če uporabljamo posebne aplikacije, ki za pravilno delovanje potrebujejo to možnost omogočeno. [naprej, kazalec na OK]
  • Smo v glavnem oknu.
  • SPOROČILO: Pri nastavitvah za gesla na domeni pa imamo še dodatne možnosti. Izberimo »Account Lockout Policy«. [naprej, kazalec na "Account Lockout Policy"]
  • SPOROČILO: Odprimo.
  • SPOROČILO: Izbiramo lahko med tremi možnostmi. Poglejmo si prvo izmed njih. [naprej, kazalec na "Account lockout duration"]
  • Smo v novem oknu.
  • SPOROČILO: Pri tej nastavitvi lahko izberemo, za koliko časa se zaklene dostop, če je uporabnik prevečkrat vnesel napačno geslo. Če čas nastavimo na 0, potem lahko račun odklene samo administrator. [naprej, kazalec na OK]
  • Smo v glavnem oknu.
  • SPOROČILO: Druga možnost. [kazalec na "Account lockout treshold"]
  • Odpre se novo okno.
  • SPOROČILO: Tukaj imamo možnost nastaviti, kolikokrat lahko uporabnik poskuša vpisati (napačno) geslo. Po tem številu poskusov se dostop za uporabnika zaklene. Če je vrednost nastavljena na 0, se dostop nikoli ne zaklene. [naprej, kazalec na OK]
  • Smo v glavnem oknu.
  • SPOROČILO: Še tretja možnost. [kazalec na "Reset account lockout counter"]
  • Smo v novem oknu.
  • SPOROČILO: Tukaj imamo možnost nastaviti, čez koliko časa naj se števec napačnih gesel postavi na 0. Seveda je ta nastavitev smiselna le, če imamo vklopljeno prejšnjo nastavitev (Account lockout threshold). [naprej, kazalec na OK]
  • Smo v glavnem oknu
  • SPOROČILO: KONEC. Še enkrat od začetka. [gumb "Na začetek"]


Kvizna vprašanja

  • Če imamo v "Account lockout policy" – "Account lockout threshold" napačne poizkuse oz. "Invalid logon attempts" nastavljeno na 0, potem se pri vpisovanju gesla ne smemo zmotiti. Če se zmotimo, se sistem zaklene.
    • PRAVILNO. [Odziv: Nepravilno! Če so napačni poizkusi nastavljeni na 0, potem se sistem nikoli ne zaklene, ne glede na to, kolikokrat se uporabnik zmoti.
    • NEPRAVILNO. [Odziv: Pravilno! Geslo lahko seveda vpišemo poljubnokrat, sistem pa se nikoli ne bo zaklenil.]
  • Katero kombinacijo nastavitev gesel bi bilo smiselno uporabiti?

1 = "Enforce password history"

2 = "Maximum password age"

3 = "Minimum password age"

4 = "Minimum password lenght"

5 = "Password must meet complexity requirements"

6 = "Store password using reversible encryption"

7 = "Account lockout duration"

8 = "Account lockout treshold"

9 = "Reset account lockout counter"

  • 2, 3, 5, 6 (Odziv: Napačno! 2. in 3. nastavitve nima smisla nastavljati, če nimamo vklopljene prve nastavitve - Če računalnik ne beleži starih gesel, potem nima smisla, da nastavljamo, da bi geslo sploh poteklo, saj si lahko uporabnik nastavi isto staro geslo.)
    • 1, 2, 3, 4, 7 (Odziv: Napačno! Nastavitve 7 nima smisla nastavljati brez nastavitve 8, s katero določimo, da bo računalnik po določenem številu napačnih vnosov gesla zaklenil dostop.)
    • 4, 5, 7, 8, 9 (Odziv: Pravilno. Tudi če ne uporabimo prvih treh nastavitev, se ostale smiselno dopolnjujejo.)
    • 1, 4, 6, 7, 8 (Odziv: Napačno. Prve nastavitve nima smisla nastavljati, če ne nastavimo vsaj tudi druge - če nimamo nastavljeno, da bi nam geslo poteklo, potem nima smisla, da nam bi računalnik beležil stara gesla.
  • Nastavitev "Store password using reversible encryption" je priporočljivo imeti omogočeno.
    • PRAVILNO, saj računalnik zakodira naše geslo. (Odziv: Napačno, računalnik shrani naše geslo in ga uporablja pri posebnih aplikacijah, ki ga potrebujejo za pravilno delovanje. Za vsakdanjo rabo je bolje imeti to možnost onemogočeno.)
    • NAPAČNO (Odziv: Pravilno.)
  • S katerim od administrativnih orodij nastavljamo sistemske pravice za gesla na domeni?
    • Domain Controller Security Policy (Odziv: Napačno! S tem orodjem nastavljamo pravice za domenski strežnik.)
    • Domain Security Policy (Odziv: Pravilno!)
    • Active Directory Users and Computers (Odziv: Napačno! S tem orodjem med drugim dodajamo in upravljamo z uporabniki in skupinami ter računalniki na domeni.)
    • Services. (Odziv: Napačno! Še enkrat si poglej animacijo.)


Povezava na filmček.

Osebna orodja