[MS AD] PSO (Password Settings Object) 만들기 (Microsoft Active Directory)

개인정보보호법 또는 GDPR 및 Information Security에서 필수로 요구되는 암호(password) 정책을

MS AD를 활용하여 수립/관리할 수 있는 방법입니다.

 

AD서버 - 'ADSI 편집' 스냅인 (시작 -> 실행 -> adsiedit.msc)

1. adsiedit.msc 실행

2. ADSI 편집 마우스 오른쪽 메뉴 '연결 대상' 클릭

3. 이름에 PSO를 만들 도메인의 FQDN(정규화된 도메인 이름)을 입력  또는 기본값 '확인'

4. 도메인 더블 클릭 > DC=<도메인 이름> 더블 클릭

5. CN=System 더블 클릭

6. CN=Password Settings Container 클릭

선택한 도메인에 만들어진 모든 PSO 개체 보여짐

7. CN=Password Settings Container를 마우스 오른쪽 메뉴 '새로 만들기' 클릭 > 다음 개체 클릭.

8. 개체 만들기 대화 상자의 클래스 선택에서 msDS-PasswordSettings를 클릭 다음 클릭.

9. 값에 새 PSO 이름을 입력 다음 클릭.

10.마법사를 계속하고 모든 mustHave 특성에 적합한 값 입력.

 

특성 이름	설명	허용되는 값 범위	예제 값
msDS-PasswordSettingsPrecedence	암호 설정 우선 순위	0보다 큼	10
msDS-PasswordReversibleEncryptionEnabled	사용자 계정의 암호 해독 가능한 암호화 상태	FALSE / TRUE(권장: FALSE)	FALSE
msDS-PasswordHistoryLength	사용자 계정의 암호 기록 길이	0-1024	24
msDS-PasswordComplexityEnabled	사용자 계정의 암호 복잡성 상태	FALSE / TRUE(권장: TRUE)	TRUE
msDS-MinimumPasswordLength	사용자 계정의 최소 암호 길이	0-255	8
msDS-MinimumPasswordAge	사용자 계정의 최소 암호 사용 기간	◦ 없음 ◦ 00:00:00:00-msDS-MaximumPasswordAge 값​	1:00:00:00(1일)
msDS-MaximumPasswordAge	사용자 계정의 최대 암호 사용 기간	◦ 제한 없음 ◦ msDS-MinimumPasswordAge 값-(제한 없음) ◦ msDS-MaximumPasswordAge는 0으로 설정할 수 없습니다.​	42:00:00:00(42일)
msDS-LockoutThreshold	사용자 계정 잠금의 잠금 임계값	0-65535	10
msDS-LockoutObservationWindow	사용자 계정 잠금의 관찰 창	◦ (없음) ◦ 00:00:00:01-msDS-LockoutDuration 값​	0:00:30:00(30분)
msDS-LockoutDuration	잠긴 사용자 계정의 잠금 기간	◦ (없음) ◦ (제한 없음) ◦ msDS-LockoutObservationWindow 값-(제한 없음)	0:00:30:00(30분)
msDS-PSOAppliesTo	이 암호 설정 개체가 적용되는 개체에 대한 연결(정방향 연결)	사용자 또는 글로벌 보안 그룹의 DN 0개 이상	"CN=u1,CN=Users, DC=DC1, DC=contoso, DC=com"

 

11. 마법사의 마지막 화면에서 추가 특성 클릭.

12. 표시할 여러 속성 선택 메뉴에서 옵션 또는 모두 클릭.

13. 표시할 속성 선택 드롭다운 목록에서 msDS-PSOAppliesTo 선택.

14. 특성 편집에서 PSO가 적용될 사용자나 글로벌 보안 그룹의 고유 이름 추가를 클릭.

15. 14단계를 반복하여 PSO를 추가 사용자나 글로벌 보안 그룹에 적용.

16. 마침 클릭.

 

docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc754461(v=ws.10)?redirectedfrom=MSDN#BKMK_1