через утилиту (AdmPwd UI) или через команду:
Get-AdmPwdPassword -ComputerName <computername>
Установка Fine-Grained Password Policy
Для повышения безопасности ИТ инфраструктуры можно установить различные требования парольной политики для различных групп сотрудников (пользователи и администраторы). Настройку можно произвести через оснастку Активного Каталога или консоль PowerShell. Требования: функциональный уровень домена Windows 2008 и выше, права Enterprise Admins. Настройка производится контролере домена.
Вариант 1:
Настройка через оболочку Active Directory Administrative Center. Открываем оснастку Active Directory Administrative Center и переходим на ветвь: System -> Password Settings Container
Правая кнопка: New -> Password Settings
Вариант 2:
Настройка чрез консоль PowerShell:
New-ADFineGrainedPasswordPolicy -Name «Tech Admin Password Policy» -Precedence 1 `
– MinPasswordLength 12 -MaxPasswordAge «30» -MinPasswordAge «7» `
– PasswordHistoryCount 50 -ComplexityEnabled:$true `
– LockoutDuration «8:00» `
– LockoutObservationWindow «8:00» -LockoutThreshold 5 `
– ReversibleEncryptionEnabled:$false
•Добавление группу:
Add-ADFineGrainedPasswordPolicySubject -Identity «Tech Admin Password Policy» -Subjects «IT Admins»
•Добавление администратора (ADMIN1) к политике (как пример на пользователя):
Add-ADFineGrainedPasswordPolicySubject -Identity «Tech Admin Password Policy» -Subjects «ADMIN1»
Restricted Groups добавление в группу локальных администраторов через GPO
Можно использовать данный механизм для добавления доменной группы в группу локальных администраторов, а также контролировать членство в данной группе.
•Открываем оснастку Group Policy Management на контроллере домена.
•Создаем новую групповую политику: RESTRICTED-ADM-LOCAL
•Через Group Policy Management Editor (GPME) открываем ветку:
Computer Configuration> Policies> Windows Settings> Windows Security> Restricted Groups
•Добавляем группу: [ADD GROUP] и выбираем Administrators
•Входим в группу и добавляем членов группы [ADD MEMBERS of this GROUP]
•Добавляем нашу доменную группу (ADDS-ADM-LOCAL)
•Деактивируем User Configuration секцию данной групповой политики
•Применяем политику на соответствующую организационную единицу.
Отключение автозапуска Service Manager через GPO
Добавление данной записи через групповую политику позволит снизить нагрузку на сервера т.к. данная оболочка потребляет определённое количество ресурсов. Желательно включить для всех серверов организации. Настраивается через: Computer/Policies/Administrative Templates/System/Service Manager, enable отключение опции Disable Service Manager startup.
Сопровождение
Сопровождение сервиса возможно средствами ИТ департамента. Не требуется частого вмешательства в работу сервиса. Достаточно 10 минут в день на мониторинг состояния. Перечень регламентных работ может содержать следующие задачи:
Помимо перечня работ, желательно также определить время выполнения задачи, уровень специалиста и подразделение. Это позволить определить уровень занятости сотрудников, их количество и детализация задач в должностных инструкциях. Выше представлен пример. Кроме этого, благодаря 100% резервированию, большинство регламентных работ можно производить поочередно в рабочее время.
Требования к квалификации сотрудников
Качественное внедрение и сопровождение сервиса возможно при соблюдении следующих требований к квалификации и опыту сотрудников:
•Базовые знания по сетевым технологиям;
•Базовые