Bagian penting dari pekerjaan Anda sebagai administrator adalah membuat account pengguna, dan bab ini akan menunjukkan cara untuk melakukan itu.
Account pengguna memungkinkan Microsoft Windows 2000 untuk melacak dan mengatur informasi tentang pengguna, termasuk hak akses dan hak-hak istimewa. Bila Anda membuat account pengguna, perangkat administrasi utama account yang Anda gunakan
*Active Directory Users and Computers, yang dirancang untuk menyelenggarakan pembukuan seluruh domain Active Directory.*Lokal Users and Groups, yang dirancang untuk mengelola account pada komputer lokal.
Membuat akun domain serta pengguna lokal dan kelompok yang tercakup dalam bab ini.User Account Setup dan Organisasi
Yang paling aspek penting dari pembuatan account adalah account setup dan organisasi. Tanpa kebijakan yang tepat, Anda bisa dengan cepat menemukan bahwa Anda perlu untuk mengolah semua account pengguna Anda. Jadi sebelum Anda membuat account, menentukan kebijakan yang akan Anda gunakan untuk pengaturan dan organisasi.Penamaan account Kebijakan
Sebuah kebijakan utama Anda harus mengatur adalah skema penamaan untuk akun. Account pengguna memiliki nama dan nama layar logon. Nama tampilan (atau nama lengkap) adalah nama yang ditampilkan kepada pengguna dan nama direferensikan dalam sesi pengguna. Nama logon adalah nama yang digunakan untuk log on ke domain. Logon nama dibahas secara singkat dalam bagian Bab 7 berjudul "Logon Nama, Sandi, dan Sertifikat Publik."
Aturan untuk Nama Tampilan
Pada Windows 2000, nama tampilan biasanya gabungan dari nama pengguna dan nama terakhir, tapi Anda dapat mengaturnya ke nilai string. Nama tampilan harus mengikuti aturan-aturan ini:
* nama tampilan lokal harus unik pada workstation.
* Tampilan nama harus unik di seluruh domain.
* Tampilan nama harus tidak lebih dari 64 karakter.
* Nama Tampilan dapat berisi karakter alfanumerik dan karakter khusus.
Aturan untuk Nama Logon
Nama Logon harus mengikuti aturan-aturan ini:
* nama login lokal harus unik pada workstation dan nama logon global harus unik di seluruh domain.
* Logon nama bisa sampai 104 karakter. Namun, tidak praktis untuk menggunakan nama logon yang lebih panjang dari 64 karakter.
* Sebuah Microsoft Windows NT versi 4.0 atau sebelumnya nama logon diberikan kepada semua account, yang secara default di-set ke 20 karakter pertama dari nama 2000 logon Windows. Windows NT versi 4.0 atau sebelumnya nama logon harus unik di seluruh domain.
* Pengguna log on ke domain dari Windows 2000 komputer dapat menggunakan Windows 2000 nama mereka atau mereka logon Windows NT versi 4.0 atau nama logon sebelumnya, terlepas dari modus domain operasi.
* Logon nama tidak dapat berisi karakter tertentu. karakter tidak valid adalah
"/ \ []:; | =, + * <>?
* Nama Logon dapat berisi semua karakter khusus lainnya, termasuk spasi, titik, tanda hubung, dan garis bawah. Tapi secara umum bukan ide baik untuk menggunakan spasi dalam nama account.
Catatan: Meskipun nama pengguna Windows 2000 toko dalam kasus yang Anda masukkan, nama user tidak sensitif huruf. Sebagai contoh, Anda dapat mengakses account Administrator dengan nama pengguna Administrator atau administrator. Jadi, nama pengguna adalah case sadar tapi tidak peka.
Skema Penamaan
Anda akan menemukan bahwa organisasi paling kecil cenderung untuk menetapkan nama login yang menggunakan nama pengguna pertama atau terakhir. Tapi Anda dapat memiliki beberapa Toms, Dicks, dan Harry dalam organisasi dari berbagai ukuran. Jadi, daripada harus mengolah skema penamaan logon Anda ketika Anda mengalami masalah, pilih skema penamaan yang baik sekarang dan membuat administrator lainnya yakin menggunakannya. Untuk account penamaan, Anda harus menggunakan prosedur yang konsisten yang memungkinkan basis pengguna Anda untuk tumbuh dan membatasi kemungkinan konflik nama dan memastikan bahwa account Anda memiliki nama yang aman yang tidak mudah dieksploitasi. Jika Anda mengikuti panduan ini, jenis skema penamaan Anda mungkin ingin pergunakan termasuk:
* nama pengguna dan terakhir awal Anda mengambil nama pengguna dan menggabungkannya dengan huruf pertama dari nama belakang untuk membuat nama logon. Untuk William Stanek, Anda akan menggunakan williams atau tagihan. Skema penamaan tidak praktis untuk organisasi yang besar.
* Nama pengguna pertama awal dan terakhir Anda mengambil pertama awal pengguna dan menggabungkannya dengan nama belakang untuk membuat nama logon. Untuk William Stanek, Anda akan menggunakan wstanek. Skema penamaan tidak praktis untuk organisasi yang besar, baik.
* pertama Nama pengguna awal, tengah awal, dan terakhir Anda menggabungkan nama depan pengguna awal, tengah awal, dan terakhir untuk menciptakan nama logon. Untuk William R. Stanek, Anda akan menggunakan wrstanek.
* pertama pengguna awal, tengah awal, dan lima karakter pertama dari nama belakang Anda menggabungkan pertama pengguna awal, tengah awal, dan yang pertama lima karakter dari nama belakang untuk membuat nama logon. Untuk William R. Stanek, Anda akan menggunakan wrstane.
* nama pengguna dan nama belakang Anda menggabungkan nama pengguna pertama dan terakhir. Untuk memisahkan nama-nama, Anda bisa menggunakan karakter underscore (_) atau tanda hubung (-). Untuk William Stanek, Anda dapat menggunakan stanek william_ atau william-stanek.
Tip Dalam lingkungan keamanan yang ketat, Anda dapat menetapkan kode numerik untuk nama logon. Kode numerik harus minimal 20 karakter. Kombinasikan metode ini penamaan ketat dengan kartu pintar dan pembaca kartu cerdas untuk memungkinkan pengguna untuk dengan cepat log on ke domain. Jangan khawatir, pengguna masih dapat memiliki nama tampilan bahwa manusia dapat membaca.Password dan Kebijakan Account
Windows 2000 account menggunakan password dan sertifikat publik untuk autentikasi akses ke sumber daya jaringan. Bagian ini berfokus pada password.
Secure Password
password adalah case-sensitive string yang dapat berisi hingga 104 karakter dengan layanan direktori Active Directory dan hingga 14 karakter dengan Windows NT Security Manager. Berlaku untuk karakter password adalah huruf, angka, dan simbol. Bila Anda menetapkan password untuk account, Windows 2000 menyimpan kata sandi dalam format yang dienkripsi dalam database account.
Tapi ternyata memiliki password tidak cukup. Kunci untuk mencegah akses tidak sah ke sumber daya jaringan adalah dengan menggunakan password yang aman. Perbedaan antara rata-rata dan password password yang aman adalah bahwa password yang aman yang sulit ditebak dan retak. Anda membuat password yang sulit ditebak dengan menggunakan kombinasi dari semua karakter yang tersedia jenis-termasuk huruf kecil, huruf besar, angka, dan simbol. Sebagai contoh, daripada menggunakan happydays untuk password Anda akan menggunakan haPPy2Days &, Ha ** hari, y! atau bahkan *% h PPY d ys *.
Sayangnya, tidak peduli seberapa aman anda awalnya membuat password user, akhirnya pengguna biasanya memilih password. Karena itu, Anda akan ingin untuk menetapkan kebijakan account. Account kebijakan ini adalah bagian dari kebijakan dikonfigurasi sebagai kebijakan grup.
Kebijakan Mengatur Account
Seperti yang Anda ketahui dari diskusi sebelumnya, Anda dapat menerapkan kebijakan grup pada berbagai tingkatan dalam struktur jaringan. Anda mengelola kebijakan kelompok lokal dengan cara yang dibahas dalam bagian Bab 4 berjudul "Mengelola Kebijakan Local Group." Anda mengelola kebijakan kelompok global seperti yang dijelaskan dalam bagian Bab 4 berjudul "Mengelola Situs, Domain, dan Unit Kebijakan."
Setelah Anda mengakses wadah kelompok kebijakan Anda ingin bekerja dengan, Anda dapat mengatur kebijakan akun dengan melengkapi langkah-langkah berikut:
1. Seperti ditunjukkan dalam Gambar 8-1, mengakses Account Kebijakan node dengan bekerja jalan turun pohon konsol. Expand Computer Configuration, kemudian Windows Settings, kemudian Pengaturan Keamanan.
2. Anda sekarang dapat mengatur kebijakan rekening melalui Kebijakan Password, Account Lockout Kebijakan, dan Kebijakan Kerberos node.
Catatan: Kebijakan Kerberos tidak digunakan dengan komputer lokal. Kerberos kebijakan hanya tersedia dengan kebijakan kelompok yang mempengaruhi situs, domain, dan unit organisasi.
Gambar 8-1: Gunakan entri dalam Rekening Kebijakan node untuk menetapkan kebijakan untuk password dan menggunakan account umum. Pohon konsol menunjukkan nama komputer atau domain yang Anda mengkonfigurasi. Pastikan ini adalah sumber daya jaringan yang sesuai untuk mengkonfigurasi.
Gambar 8-2: Dengan kebijakan lokal, Anda akan melihat kebijakan yang efektif serta kebijakan lokal.
Gambar 8-2: Dengan kebijakan lokal, Anda akan melihat kebijakan yang efektif serta kebijakan lokal.
3. Untuk mengatur suatu kebijakan, klik ganda entri atau klik kanan dan pilih Keamanan. Ini akan membuka kotak dialog Properties untuk kebijakan.
4. Untuk kebijakan lokal, kotak dialog Properties adalah serupa dengan yang ditunjukkan dalam Gambar 8-2. Kebijakan efektif untuk komputer ditampilkan tetapi Anda tidak dapat mengubahnya. Anda dapat mengubah pengaturan kebijakan lokal, namun. Gunakan isian yang disediakan untuk mengkonfigurasi kebijakan lokal. Untuk kebijakan lokal, lewati langkah-langkah yang tersisa; langkah-langkah kebijakan yang berlaku untuk kelompok global.
Catatan: Situs, domain, dan kebijakan unit organisasi memiliki awalan dibanding kebijakan lokal.
5. Untuk domain, situs, atau unit organisasi, kotak dialog Properties adalah serupa dengan yang ditunjukkan dalam Gambar 8-3.
Gambar 8-3: Menetapkan kebijakan dan mengkonfigurasi kelompok global mereka menggunakan kotak dialog Properties.
Gambar 8-3: Menetapkan kebijakan dan mengkonfigurasi kelompok global mereka menggunakan kotak dialog Properties.
6.Semua kebijakan yang baik pasti atau tidak pasti. Artinya, mereka baik dikonfigurasi untuk menggunakan atau tidak dikonfigurasi untuk digunakan. Sebuah kebijakan yang tidak didefinisikan dalam kontainer saat ini bisa diwariskan dari wadah yang lain.
7. Pilih atau menghapus Tentukan Kebijakan Mengatur kotak cek untuk menentukan apakah kebijakan didefinisikan.
Tip Kebijakan dapat memiliki kolom tambahan untuk mengkonfigurasi kebijakan. Seringkali, bidang ini tombol pilihan berlabel Enabled dan Disabled. Diaktifkan ternyata pada kebijakan pembatasan. Dinonaktifkan mematikan pembatasan kebijakan.
prosedur khusus untuk bekerja dengan akun kebijakan dibahas dalam bagian bab yang berjudul "Konfigurasi Password Kebijakan," "Konfigurasi Account Lockout Kebijakan," dan "Konfigurasi Kerberos Kebijakan." bagian berikut ini bab, "Melihat Kebijakan Efektif," akan mengajarkan lebih lanjut tentang melihat kebijakan yang efektif pada komputer lokal.
Melihat Kebijakan Efektif
Ketika bekerja dengan account dan pengguna kebijakan pengalihan hak, Anda akan sering ingin melihat kebijakan yang efektif pada sistem lokal. Kebijakan yang efektif adalah kebijakan yang ditegakkan dan, seperti dibahas dalam Bab 4 di bawah "Group Policy Management," kebijakan yang efektif tergantung pada urutan di mana Anda menerapkan kebijakan.
Untuk melihat kebijakan yang efektif pada sistem lokal, lakukan langkah-langkah berikut:
1. Akses kebijakan lokal untuk sistem Anda ingin bekerja dengan, seperti yang dijelaskan dalam bagian Bab 4 berjudul "Mengelola Kebijakan Local Group." Atau pilih Local Kebijakan Setting pada menu Administrative Tools (jika alat ini dipasang dan saat ini Anda login ke komputer Anda ingin memeriksa).
2. Akses node kebijakan yang ingin Anda periksa. Gambar 8-4 menunjukkan node Password Kebijakan.
3. Dengan kebijakan lokal, kolom Setting Komputer digantikan oleh sebuah kolom Setting Lokal dan kolom Setting Efektif. Kolom Setting setempat menunjukkan pengaturan kebijakan lokal. Kolom Setting Efektif menunjukkan pengaturan kebijakan yang sedang diberlakukan pada komputer lokal.
4. Jika ada kebijakan konflik yang Anda ingin untuk melacak, meninjau bagian Bab 4 berjudul "Apa Orde Apakah Multiple Kebijakan Terapan?" dan "Kapan Apakah Kebijakan Grup Terapan?"
Kebijakan Konfigurasi Account
Seperti yang Anda pelajari pada bagian sebelumnya, ada tiga jenis kebijakan account: password kebijakan, kebijakan account lockout, dan kebijakan Kerberos. Bagian berikutnya menunjukkan cara mengkonfigurasi masing-masing kebijakan tersebut.
Gambar 8-4: kebijakan lokal menunjukkan pengaturan yang efektif serta pengaturan lokal.
Kebijakan Konfigurasi Password
Password kebijakan pengendalian keamanan untuk password dan mereka termasuk
* Password menegakkan Sejarah
* Maksimum Password Umur
* Password Usia Minimum
* Password Minimum Panjang
* Harus Memenuhi Persyaratan Sandi Kompleksitas
* Toko Password Menggunakan Enkripsi Reversible Untuk Semua Pengguna Dalam Domain
Menggunakan kebijakan ini dibahas dalam bagian berikut.
Password menegakkan Sejarah
Menegakkan Sejarah Password menentukan berapa sering password lama dapat digunakan kembali. Anda dapat menggunakan kebijakan ini untuk mencegah pengguna dari mengubah bolak-balik antara satu set password umum. Windows 2000 dapat menyimpan hingga 24 password untuk setiap pengguna dalam sejarah sandi. Secara default, Windows 2000 toko satu password dalam sejarah sandi.
Untuk menonaktifkan fitur ini, mengatur ukuran sejarah password untuk nol. Untuk mengaktifkan fitur ini, mengatur ukuran sejarah sandi menggunakan Sandi Ingat lapangan. Windows 2000 kemudian akan melacak password lama menggunakan sejarah password yang unik untuk setiap pengguna, dan pengguna tidak akan diizinkan untuk menggunakan kembali salah satu password yang tersimpan.
Catatan: Untuk mencegah user dari menipu Menegakkan Sejarah Password, Anda tidak harus memungkinkan mereka untuk mengubah password dengan segera. Hal ini akan mencegah pengguna mengubah password mereka beberapa kali untuk mendapatkan kembali password lama mereka.
Maksimum Password Umur
Password Usia maksimum menentukan berapa lama pengguna dapat menyimpan sandi sebelum mereka harus mengubahnya. Tujuannya adalah untuk secara berkala memaksa pengguna untuk mengubah password mereka. Bila Anda menggunakan fitur ini, menetapkan nilai yang masuk akal untuk jaringan Anda. Umumnya, Anda menggunakan periode pendek ketika keamanan sangat penting dan waktu yang lebih lama ketika keamanan yang kurang penting.
Tanggal kadaluarsa default adalah 42 hari, tapi mengaturnya ke nilai apapun 0-999. Nilai nol menetapkan bahwa password tidak berakhir. Meskipun Anda mungkin tergoda untuk tidak menetapkan tanggal kedaluwarsa, pengguna harus mengubah password secara teratur untuk memastikan keamanan jaringan. Mana keamanan adalah kekhawatiran, nilai-nilai yang baik adalah 30, 60, atau 90 hari. Mana keamanan kurang penting, nilai-nilai yang baik 120, 150, atau 180 hari.
Catatan: Windows 2000 memberitahu pengguna ketika mereka semakin dekat dengan tanggal kedaluwarsa password. Kapan tanggal kadaluarsa kurang dari 30 hari lagi, pengguna melihat peringatan ketika mereka log on bahwa mereka harus mengubah password mereka dalam hari begitu banyak.
Password Usia Minimum
Password Usia Minimum menentukan berapa lama pengguna harus menjaga password sebelum mereka dapat mengubahnya. Anda dapat menggunakan kolom ini untuk mencegah pengguna dari kecurangan sistem password dengan memasukkan password baru dan kemudian mengubahnya kembali ke yang lama.
Secara default, Windows 2000 memungkinkan pengguna mengubah password mereka dengan segera. Untuk mencegah hal ini, menetapkan usia minimum tertentu. Pengaturan yang wajar adalah dari tiga sampai tujuh hari. Dengan cara ini, Anda memastikan bahwa pengguna tidak cenderung untuk beralih kembali ke password lama tetapi dapat mengubah password mereka dalam jumlah waktu yang wajar jika mereka ingin.
Password Minimum Panjang
Password Minimum Panjang menentukan jumlah minimum karakter untuk password. Jika Anda belum mengubah pengaturan default ini, Anda akan ingin melakukannya segera. Defaultnya adalah untuk memungkinkan password kosong (password dengan karakter nol), yang pasti bukan ide yang baik.
Untuk alasan keamanan, biasanya Anda akan ingin password minimal delapan karakter. Alasan untuk ini adalah bahwa password lama biasanya sulit untuk retak daripada yang pendek. Jika Anda menginginkan keamanan yang lebih besar, setel panjang password minimum 14 karakter.
Harus Memenuhi Persyaratan Sandi Kompleksitas
Selain password dasar dan kebijakan account, Windows 2000 termasuk fasilitas untuk membuat password kontrol tambahan. Fasilitas ini tersedia di filter password, yang dapat diinstal pada domain controller. Jika anda telah menginstal sandi filter, memungkinkan Sandi Harus Penuhi Persyaratan Kompleksitas. Kata sandi kemudian diminta untuk memenuhi persyaratan keamanan penyaring.
Sebagai contoh, standar Windows NT filter (PASSFILT.DLL) mengharuskan penggunaan password yang aman yang ikuti panduan:
* Password harus setidaknya enam karakter.
* Password tidak dapat berisi nama pengguna, seperti stevew, atau bagian dari nama lengkap pengguna, seperti Steve.
* Password harus menggunakan tiga dari empat jenis karakter yang tersedia: huruf kecil, huruf besar, angka, dan simbol.
Toko Password Menggunakan Enkripsi Reversible
Password dalam database kata sandi terenkripsi. enkripsi ini biasanya tidak dapat dikembalikan. Jika Anda ingin memperbolehkan enkripsi akan dipulihkan, memungkinkan Toko Password Menggunakan Enkripsi Reversible Untuk Semua Pengguna Dalam Domain. Kata sandi kemudian disimpan dengan enkripsi reversibel dan dapat dipulihkan dalam keadaan darurat. Lupa password dalam bukan situasi darurat. Setiap administrator dapat mengubah password user.Kebijakan Konfigurasi Account Lockout
Account lockout kebijakan kontrol bagaimana dan kapan account terkunci keluar dari domain atau sistem lokal. Kebijakan-kebijakan ini
* Account Lockout Threshold
* Account Lockout Duration
* Reset Account Lockout Threshold Setelah
Account Lockout Threshold
Account Lockout Threshold menentukan jumlah usaha logon yang diizinkan sebelum account terkunci. Jika Anda memutuskan untuk menggunakan kontrol lockout, Anda harus menetapkan bidang ini ke nilai yang menyeimbangkan kebutuhan untuk mencegah account retak terhadap kebutuhan pengguna yang mengalami kesulitan mengakses account mereka.
Pengguna Alasan utama mungkin tidak dapat mengakses account mereka dengan benar saat pertama adalah bahwa mereka lupa password mereka. Jika hal ini terjadi, mungkin membawa mereka beberapa upaya untuk login dengan benar. Workgroup pengguna juga dapat mengalami masalah mengakses sistem remote dimana password mereka saat ini tidak sesuai dengan password sistem remote mengharapkan. Jika ini terjadi, beberapa upaya logon buruk dapat dicatat oleh sistem remote sebelum pengguna yang pernah mendapatkan sebuah prompt untuk memasukkan password yang benar. Alasannya adalah bahwa Windows 2000 akan berusaha untuk secara otomatis login ke sistem remote. Dalam lingkungan domain, ini biasanya tidak terjadi karena Single Log-On fitur.
Anda dapat mengatur ambang lockout ke nilai apapun 0-999. Ambang lockout diatur ke nol secara default, yang berarti bahwa account tidak akan dikunci karena upaya logon tidak valid. Nilai yang lain menetapkan ambang lockout tertentu. Perlu diketahui bahwa semakin tinggi nilai lockout, semakin tinggi risiko bahwa hacker mungkin dapat masuk ke sistem anda. Berbagai wajar nilai untuk batas ini adalah antara 7 dan 15. Ini cukup tinggi untuk menyingkirkan kesalahan pengguna dan cukup rendah untuk mencegah hacker.
Account Lockout Duration
Jika seseorang melanggar kontrol lockout, Account Lockout Duration menetapkan lamanya waktu account terkunci. Anda dapat mengatur durasi lockout untuk jangka waktu tertentu menggunakan nilai antara 1 dan 99.999 menit atau untuk suatu jangka waktu yang tidak ditentukan dengan menetapkan durasi lockout ke nol.
Kebijakan keamanan terbaik adalah untuk mengunci account tanpa batas. Bila Anda melakukannya, hanya administrator dapat membuka account. Ini akan mencegah hacker dari mencoba untuk mengakses sistem lagi dan akan memaksa pengguna yang terkunci keluar untuk mencari bantuan dari seorang administrator, yang biasanya ide yang bagus. Dengan berbicara dengan pengguna, Anda dapat menentukan apa yang user lakukan salah dan membantu pengguna menghindari masalah.
Tip Bila account terkunci, mengakses kotak dialog Properties untuk account dalam Active Directory Pengguna Dan Komputer. Kemudian klik tab Account dan jelas Rekening Apakah Dikunci Out kotak cek. Ini membuka account.
Reset Account Lockout Threshold Setelah
Setiap kali upaya gagal logon, Windows 2000 meningkatkan nilai ambang yang melacak jumlah usaha logon buruk. Reset Account Lockout Threshold Setelah menentukan berapa lama batas lockout dipertahankan. ambang ini ulang salah satu dari dua cara. Jika user log on berhasil, ambang pintu direset. Jika masa tunggu untuk Reset Account Lockout Threshold Setelah telah berlalu sejak usaha logon terakhir buruk, ambang batas juga ulang.
Secara default, batas lockout dipertahankan selama satu menit, tapi anda dapat mengatur nilai apapun dari 1 sampai 99,999 menit. Seperti dengan Account Lockout Threshold, Anda perlu untuk memilih nilai yang menyeimbangkan kebutuhan keamanan terhadap kebutuhan akses pengguna. Sebuah nilai yang baik adalah dari satu sampai dua jam. Waktu tunggu ini harus cukup panjang untuk memaksa para hacker untuk menunggu lebih lama dari yang mereka ingin sebelum mencoba mengakses account lagi.
Catatan: upaya Buruk logon ke workstation terhadap screen saver yang dilindungi sandi tidak meningkatkan ambang batas lockout. Demikian pula, jika Anda mengunci server atau workstation menggunakan Ctrl + Alt + Delete, upaya logon buruk terhadap kotak dialog Unlock tidak masuk hitungan.Kebijakan Konfigurasi Kerberos
Kerberos versi 5 adalah mekanisme otentikasi utama yang digunakan dalam domain Active Directory. Untuk memverifikasi identifikasi pengguna dan layanan jaringan, Kerberos menggunakan layanan tiket dan tiket pengguna. Seperti yang mungkin Anda harapkan, tiket layanan yang digunakan oleh Windows 2000 proses pelayanan dan tiket pengguna yang digunakan oleh proses pengguna. Tiket berisi data terenkripsi yang mengkonfirmasi identitas pengguna atau jasa.
Anda dapat mengontrol durasi tiket, pembaharuan, dan penegakan hukum melalui kebijakan berikut:
*Logon Pengguna Menegakkan Pembatasan
*Maksimum Seumur Hidup Untuk Pelayanan tiket
*Maksimum Seumur Hidup Untuk Tiket Pengguna
*Maksimum Seumur Hidup Untuk Perpanjangan User Tiket
*Maksimum Toleransi Untuk Sinkronisasi Jam Komputer
Kebijakan ini akan dibahas dalam bagian berikut.
Perhatian: administrator Hanya dengan pemahaman intim keamanan Kerberos harus mengubah kebijakan ini. Jika Anda mengubah kebijakan ini untuk pengaturan efisien, Anda dapat menyebabkan masalah serius pada jaringan. Dalam kebanyakan kasus default pengaturan kebijakan Kerberos bekerja dengan baik.
Logon Pengguna Menegakkan Pembatasan
Menegakkan Pengguna Logon Pembatasan memastikan bahwa setiap pembatasan ditempatkan pada rekening pengguna ditegakkan. Misalnya, jika jam logon pengguna dibatasi, kebijakan ini adalah apa memberlakukan pembatasan tersebut. Secara default, kebijakan ini diaktifkan dan hanya harus dinonaktifkan dalam keadaan langka.
Maksimum Seumur Hidup
Maksimum Seumur Hidup Untuk Pelayanan tiket dan Maksimum Seumur Hidup Untuk Pengguna Ticket mengatur durasi maksimum yang layanan atau pengguna tiket berlaku. Secara default, tiket layanan memiliki durasi maksimum 41.760 menit dan tiket pengguna memiliki durasi maksimal 720 jam.
Anda dapat mengubah durasi tiket. Untuk tiket layanan, kisaran berlaku adalah dari 0 sampai 99,999 menit. Untuk tiket pengguna, kisaran berlaku adalah dari 0 sampai 99,999 jam. Nilai nol efektif mematikan kedaluwarsa. Nilai yang lain menetapkan tiket seumur hidup tertentu.
Sebuah tiket yang berakhir dapat diperpanjang, asalkan pembaharuan berlangsung dalam waktu yang ditentukan untuk Maksimum Seumur Hidup Untuk Pengguna Tiket Pembaruan. Secara default, masa perpanjangan maksimal 60 hari. Anda dapat mengubah jangka waktu perpanjangan untuk setiap nilai dari 0 sampai 99,999 hari. Nilai nol efektif mematikan masa perpanjangan maksimum dan nilai lain menetapkan masa perpanjangan tertentu.
Maksimum Toleransi
Maksimum Toleransi Untuk Sinkronisasi Jam Komputer merupakan salah satu kebijakan beberapa Kerberos bahwa Anda mungkin perlu mengubah. Secara default, komputer dalam domain harus disinkronkan dalam waktu lima menit satu sama lain. Jika tidak, otentikasi gagal.
Jika Anda memiliki remote user yang log on ke domain tanpa sinkronisasi jam mereka ke timeserver jaringan, Anda mungkin perlu untuk menyesuaikan nilai ini. Anda dapat mengatur nilai apapun dari 0 sampai 99,999.
No comments:
Post a Comment