Aracılığıyla paylaş

Microsoft Entra Domain Services yönetilen etki alanlarında parola ve hesap kilitleme ilkeleri

  • Makale

Microsoft Entra Etki Alanı Hizmetleri'nde kullanıcı güvenliğini yönetmek için, hesap kilitleme ayarlarını veya en düşük parola uzunluğu ve karmaşıklığını denetleen ayrıntılı parola ilkeleri tanımlayabilirsiniz. Varsayılan ayrıntılı parola ilkesi oluşturulur ve Etki Alanı Hizmetleri tarafından yönetilen etki alanındaki tüm kullanıcılara uygulanır. Ayrıntılı denetim sağlamak ve belirli iş veya uyumluluk gereksinimlerini karşılamak için ek ilkeler oluşturulabilir ve belirli kullanıcılara veya gruplara uygulanabilir.

Bu makalede, Active Directory Yönetim Merkezi'ni kullanarak Etki Alanı Hizmetleri'nde ayrıntılı bir parola ilkesi oluşturma ve yapılandırma gösterilmektedir.

Not

Parola ilkeleri yalnızca Resource Manager dağıtım modeli kullanılarak oluşturulan yönetilen etki alanları için kullanılabilir.

Başlamadan önce

Bu makaleyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

  • Etkin bir Azure aboneliği.
    • Azure aboneliğiniz yoksa bir hesap oluşturun.
  • Aboneliğinizle ilişkili olan Microsoft Entra kiracınız, ya şirket içi dizinle ya da yalnızca bulut diziniyle eşitlenmiş durumdadır.
  • Microsoft Entra kiracınızda etkinleştirilip yapılandırılmış bir Microsoft Entra Domain Services yönetilen etki alanı.
  • Yönetilen etki alanına katılmış bir Windows Server yönetim VM'si.
  • Microsoft Entra kiracınızdaki Microsoft Entra DC yöneticileri grubunun üyesi olan bir kullanıcı hesabı.

Varsayılan parola ilkesi ayarları

Ayrıntılı parola ilkeleri (FGPP' ler), etki alanındaki farklı kullanıcılara parola ve hesap kilitleme ilkeleri için belirli kısıtlamalar uygulamanıza olanak sağlar. Örneğin, ayrıcalıklı hesapların güvenliğini sağlamak için, normal ayrıcalıklı olmayan hesaplara göre daha katı hesap kilitleme ayarları uygulayabilirsiniz. Yönetilen bir etki alanında birden çok FGP oluşturabilir ve bunları kullanıcılara uygulamak için öncelik sırasını belirtebilirsiniz.

Parola ilkeleri ve Active Directory Yönetim Merkezi'ni kullanma hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

İlkeler yönetilen bir etki alanındaki grup ilişkilendirmesi aracılığıyla dağıtılır ve yaptığınız tüm değişiklikler bir sonraki kullanıcı oturum açma işleminde uygulanır. İlkenin değiştirilmesi, zaten kilitli olan bir kullanıcı hesabının kilidini açmaz.

Parola ilkeleri, uygulandıkları kullanıcı hesabının nasıl oluşturulduğuna bağlı olarak biraz farklı davranır. Etki Alanı Hizmetleri'nde kullanıcı hesabı oluşturmanın iki yolu vardır:

  • Kullanıcı hesabı, Microsoft Entra ID'den eşitlenebilir. Buna doğrudan Azure'da oluşturulan yalnızca bulut kullanıcı hesapları ve Microsoft Entra Connect kullanılarak şirket içi AD DS ortamından eşitlenen karma kullanıcı hesapları dahildir.
    • Etki Alanı Hizmetleri'ndeki kullanıcı hesaplarının çoğu, Microsoft Entra Id'den eşitleme işlemi aracılığıyla oluşturulur.
  • Kullanıcı hesabı yönetilen bir etki alanında el ile oluşturulabilir ve Microsoft Entra Kimliği'nde mevcut değildir.

Tüm kullanıcılar, nasıl oluşturulduklarından bağımsız olarak, Etki Alanı Hizmetleri'nde varsayılan parola ilkesi tarafından aşağıdaki hesap kilitleme ilkelerine sahiptir:

  • Hesabı kilitleme süresi: 30
  • İzin verilen başarısız oturum açma girişimi sayısı: 5
  • Başarısız oturum açma denemelerinin sayısını sıfırlama süresi: 2 dakika
  • En fazla parola yaşı (yaşam süresi): 90 gün

Bu varsayılan ayarlarla, 2 dakika içinde beş geçersiz parola kullanılırsa kullanıcı hesapları 30 dakika boyunca kilitlenir. Hesapların kilidi 30 dakika sonra otomatik olarak açılır.

Hesap kilitlemeleri yalnızca yönetilen etki alanında gerçekleşir. Kullanıcı hesapları yalnızca Etki Alanı Hizmetleri'nde kilitlenir ve yalnızca yönetilen etki alanında başarısız oturum açma girişimleri nedeniyle kilitlenir. Microsoft Entra Kimliği'nden veya şirket içinden eşitlenen kullanıcı hesapları, kaynak dizinlerinde değil, sadece Etki Alanı Hizmetleri'nde kilitlenir.

Parola yaşı üst sınırını 90 günden uzun belirten bir Microsoft Entra parola ilkeniz varsa, bu parola yaşı Etki Alanı Hizmetleri'ndeki varsayılan ilkeye uygulanır. Etki Alanı Hizmetleri'nde farklı bir maksimum parola yaşı tanımlamak için özel bir parola ilkesi yapılandırabilirsiniz. Etki Alanı Hizmetleri parola ilkesinde, Microsoft Entra Id veya şirket içi AD DS ortamından daha kısa bir maksimum parola yaşı yapılandırılmışsa dikkatli olun. Bu senaryoda, kullanıcının parolası, Microsoft Entra Kimliği'nde veya şirket içi AD DS ortamında değiştirilmesi istenmeden önce Etki Alanı Hizmetleri'nde dolabilir.

Yönetilen bir etki alanında el ile oluşturulan kullanıcı hesapları için, varsayılan ilkeden aşağıdaki ek parola ayarları da uygulanır. Bu ayarlar Microsoft Entra Id'den eşitlenen kullanıcı hesapları için geçerli değildir çünkü kullanıcı parolasını doğrudan Etki Alanı Hizmetleri'nde güncelleştiremez.

  • Minimum parola uzunluğu (karakterler): 7
  • Parolalar karmaşıklık gereksinimlerini karşılamalıdır

Varsayılan parola ilkesinde hesap kilitleme veya parola ayarlarını değiştiremezsiniz. Bunun yerine, AAD DC Administrators grubunun üyeleri, sonraki bölümde gösterildiği gibi özel parola ilkeleri oluşturabilir ve bunu varsayılan yerleşik ilkeyi geçersiz kılmak (öncelikli olmak) için yapılandırabilir.

Özel parola ilkesi oluşturma

Azure'da uygulama derleyip çalıştırırken özel bir parola ilkesi yapılandırmak isteyebilirsiniz. Örneğin, farklı hesap kilitleme ilkesi ayarları ayarlamak için bir ilke oluşturabilirsiniz.

Özel parola ilkeleri yönetilen bir etki alanındaki gruplara uygulanır. Bu yapılandırma, varsayılan ilkeyi etkili bir şekilde geçersiz kılar.

Özel parola ilkesi oluşturmak için, etki alanına katılmış bir VM'den Active Directory Yönetim Araçları'nı kullanırsınız. Active Directory Yönetim Merkezi, OU'lar da dahil olmak üzere yönetilen bir etki alanındaki kaynakları görüntülemenize, düzenlemenize ve oluşturmanıza olanak tanır.

Not

Yönetilen bir etki alanında özel parola ilkesi oluşturmak için, AAD DC Administrators grubunun üyesi olan bir kullanıcı hesabında oturum açmanız gerekir.

  1. Başlangıç ekranında yönetim araçları seçin. bir yönetim VM'si oluşturmakiçin öğreticide yüklü olan kullanılabilir yönetim araçlarının listesi gösterilir.

  2. OU'ları oluşturmak ve yönetmek için yönetim araçları listesinden Active Directory Yönetim Merkezi'ni seçin.

  3. Sol bölmede, aaddscontoso.comgibi yönetilen etki alanınızı seçin.

  4. System kapsayıcısını açın, ardından Parola Ayarları Kapsayıcısı'ü açın.

    Yönetilen etki alanı için yerleşik bir parola ilkesi gösterilir. Bu yerleşik ilkeyi değiştiremezsiniz. Bunun yerine, varsayılan ilkeyi geçersiz kılmak için özel bir parola ilkesi oluşturun.

    Active Directory Yönetim Merkezi'nde parola ilkesi oluşturma

  5. Sağdaki Görevler panelinde Yeni > Parola Ayarları seçin.

  6. Parola Ayarları Oluştur iletişim kutusunda, ilke için MyCustomFGPPgibi bir ad girin.

  7. Birden çok parola ilkesi mevcut olduğunda, en yüksek önceliğe veya önceliğe sahip ilke kullanıcıya uygulanır. Sayı ne kadar düşükse öncelik de o kadar yüksektir. Varsayılan parola ilkesi, 200önceliğine sahiptir.

    1gibi varsayılanı geçersiz kılmak için özel parola ilkenizin önceliğini ayarlayın.

  8. Diğer parola ilkesi ayarlarını istediğiniz gibi düzenleyin. Hesap kilitleme ayarları tüm kullanıcılar için geçerlidir, ancak yalnızca yönetilen etki alanında etkin olur ve Microsoft Entra'nın kendisinde geçerli olmaz.

    Özel ayrıntılı parola ilkesi oluşturma

  9. işaretini kaldırınyanlışlıkla silinmeye karşı koru. Bu seçenek belirlenirse, FGPP'yi kaydedemezsiniz.

  10. Doğrudan Için Uygulanır bölümünde Ekle düğmesini seçin. Kullanıcıları veya Grupları Seç iletişim kutusunda Konumlar düğmesini seçin.

    Parola ilkesinin uygulanacağı kullanıcıları ve grupları seçin

  11. Konumlar iletişim kutusunda, aaddscontoso.comgibi bir etki alanı adını genişletin ve AADDC Kullanıcılarıgibi bir Organizasyon Birimi (OU) seçin. Uygulamak istediğiniz bir kullanıcı grubunu içeren özel bir OU'nuz varsa o OU'ya tıklayın.

    Grubun ait olduğu OU' seçin

  12. İlkeyi uygulamak istediğiniz kullanıcı veya grubun adını yazın. Hesabı doğrulamak için Adları Denetle seçeneğini seçin.

    FGPP'yi uygulamak için grubu arayın ve seçin

  13. Özel parola ilkenizi kaydetmek için Tamam'e tıklayın.

Sonraki adımlar

Parola ilkeleri ve Active Directory Yönetim Merkezi'ni kullanma hakkında daha fazla bilgi için aşağıdaki makalelere bakın: