locked
Politica de Senha no AD RRS feed

  • Pergunta

  • Pessoal, estou com uma duvida e gostaria de saber se alguém poderia me ajudar.

    Bom, a empresa que trabalho esta querendo aplicar a política de senha que bloqueia a conta do usuário após algumas tentativas de senha errada. Legal, mas vimos que isso pode afetar as contas de serviços e as de administradores do AD, pois se um usuário mal intencionado tentar utilizar a conta de um administrador do domínio, ele pode bloquear esta conta e ai ficamos sem administrador.

     

    Minha pergunta é:

     

    É possível habilitar a police de bloqueio de conta sem afetar as contas de administradores e de serviços?

     

    Desde já agradeço a todos e aguardo um retorno.

    quarta-feira, 15 de outubro de 2008 20:41

Respostas

  • Delagio

    Apesar de em posts anteriores eu ter dito que é possivel

    ter defnições de senha, bloqueio de conta diferentes em OU's e domino

    resolvi realizar testes até esgotar as possibilidades e retifico os posts dizendo que somente

    é possivel ter diretiva de senha, bloqueio de conta a nivel de dominio..mesmo aplicando a diretiva na OU

    que é carregada na estação , somente a aplicada ao dominio é aceita..

     

    abs,

     

     

    segunda-feira, 20 de outubro de 2008 18:22
    Moderador

Todas as Respostas

  • Habilita a opção na conta dos usuários

    no caso os administradores e serviços.. "A senha nunca expira".

     

    abs,

     

     

    quinta-feira, 16 de outubro de 2008 01:51
    Moderador
  • Alem da dica do Felipe, vale também vc avaliar a marcação do item, "O usuario nao pode alterar a senha", pois se é uma conta de serviço e por ex algum usuario se loga com essa conta, e troca a senha o serviço para na hora...

     

     

     

    abraços

    quinta-feira, 16 de outubro de 2008 03:38
    Moderador
  • OK, mas não entendi muito bem.

    Para habilitar a opção de bloqueio de conta eu tenho que alterar o "Defaut Domain Policy" e a policy que faz o bloqueio é a "Diretiva de bloqueio de conta" que fica em "Diretivas de conta"/"Configurações de segurança"/"Configurações do windows"/"Configuração do computador". Então como fazer para habilitar a opção apenas na conta dos usuários?

     

    Abs.

    quinta-feira, 16 de outubro de 2008 15:28
  • A diretiva de bloqueio de conta é uma diretiva de computador..

    para evitar que as contas sejam bloqueadas ao errar a senha de acordo com o numero de tentativas possiveis

    configuradas na GPO, ou você segue o procedimento acima ou desabilita o bloqueio na GPO..

     

    abs,

     

    quinta-feira, 16 de outubro de 2008 21:01
    Moderador
  • OK foi o que suspeitei, mas precisava ter certeza que não havia outro jeito.

    Bom a GPO vai ficar habilitada e será configurada para desbloqueio em 5min.

    Valeu Felipe pela ajuda.

    Abs.
    sexta-feira, 17 de outubro de 2008 10:43
  • Moraes,

     

    QQ coisa post novamente.

     

    abraços

    sexta-feira, 17 de outubro de 2008 10:52
    Moderador
  • Amigo, umas considerações:

     

    - Ficar sem administrador você nao vai. A conta administrador nao é bloqueada por limite excedido de tentativas de logon invalidas, porem os usuários contidos no grupo administradores sao bloqueados sim.

     

    - Você pode criar uma OU e mover para esta todas as contas contidas no grupo administradores. Nesta OU você pode aplicar uma GPO que negue a diretiva de bloqueio de conta por logon invalido. Verifique se a GPO de bloqueio de conta que você aplicou ao dominio(?) nao esta "Enforced", pois se estiver, a sugestao acima nao ira funcionar.

     

    - Se a GPO de bloqueio de conta foi feita exclusivamente para este objetivo, ou seja, nao há outras diretivas configuradas, você pode configurar as permições para essa gpo simplesmente negando as opções LEITURA e/ou APLICAR DIRETIVA DE GRUPO para o grupo Administradores (ou um grupo de sua preferencia). Assim, esta gpo nao se aplicará ao grupo Administradores ou qualquer outro que você desejar.

     

    Como praticas de segurança eu recomendo:

     

    - Renomeie a conta ADMINISTRADOR para um nome de sua preferencia. Deixando o nome padrao, já é meio caminho andado para usuários mal intencionados e hackers, pois o nome de login eles ja possuem, agora so falta a senha, entendeu?

     

    - Crie uma conta de usuario e o insira no grupo administradores. Anote o nome de login e senha deste usuário e guarde-o em um local seguro. Esta conta so sera usada para fins "emergenciais"

     

    Espero ter contribuido.

     

    abraços

     

    Vinicius Dell'Aglio

     

    domingo, 19 de outubro de 2008 14:18
  • Após os argumentos do Delagio

    resolvi realizar teste mais precisos..pois respondi esta thread utilizando a conta
    "administrador" o que resultou em uma resposta rápida e incorreta da minha parte

    mesmo habilitando a opção "a senha nunca expira" a conta é bloqueada.

     

     delagio wrote:

    Amigo, umas considerações:

     

    - Ficar sem administrador você nao vai. A conta administrador nao é bloqueada por limite excedido de tentativas de logon invalidas, porem os usuários contidos no grupo administradores sao bloqueados sim.POSITIVO, porém mesmo se você criar uma conta que seja a cópia da conta administrador , será bloqueada, somente a conta administrador não bloqueia.

     

    - Você pode criar uma OU e mover para esta todas as contas contidas no grupo administradores. Negativo, a diretiva de bloqueio de conta é uma diretiva de computador e não de usuário, então a diretiva não será carregada ao aplicá-la na OU que só possui contas de usuários.

     

    Nesta OU você pode aplicar uma GPO que negue a diretiva de bloqueio de conta por logon invalido. Verifique se a GPO de bloqueio de conta que você aplicou ao dominio(?) nao esta "Enforced", pois se estiver, a sugestao acima nao ira funcionar. Como eu havia dito, é uma diretiva de computador ao errar a senha pelo numero de vezes configurado na diretiva a conta será bloqueada, exceto a conta padrão administrador, ou ao configurar a diretiva você definir "0" então não haverá bloqueios de conta em uma estação especifica.

     

    - Se a GPO de bloqueio de conta foi feita exclusivamente para este objetivo, ou seja, nao há outras diretivas configuradas, você pode configurar as permições para essa gpo simplesmente negando as opções LEITURA e/ou APLICAR DIRETIVA DE GRUPO para o grupo Administradores (ou um grupo de sua preferencia). Assim, esta gpo nao se aplicará ao grupo Administradores ou qualquer outro que você desejar.Mesmo realizando esta configuração a conta é bloqueada, pelos motivos descritos acima.

     

    Como praticas de segurança eu recomendo:

     

    - Renomeie a conta ADMINISTRADOR para um nome de sua preferencia. Deixando o nome padrao, já é meio caminho andado para usuários mal intencionados e hackers, pois o nome de login eles ja possuem, agora so falta a senha, entendeu? OK.. positivo.

     

    - Crie uma conta de usuario e o insira no grupo administradores. Anote o nome de login e senha deste usuário e guarde-o em um local seguro. Esta conta so sera usada para fins "emergenciais" O ideal seria criar uma cópia da conta administrador ou utilizá-la quando necessário, pois somente inserir os usuários ao grupo administradores não resolve o problema, pois há certas configurações que dependem de que a conta seja inserida em outros grupos, como Domain Admin, Enterprise Admin.. e etc..

     

    Espero ter contribuido.

     

    abraços

     

    Vinicius Dell'Aglio

     

     

    Neste Post há uma configuração para monitorar

    usuários espertinhos que estão tentando "descobrir" senhas e em quais estações.

    http://forums.microsoft.com/TechNet-BR/ShowPost.aspx?PostID=4011144&SiteID=29

     

    abraço a todos,

     

    segunda-feira, 20 de outubro de 2008 00:29
    Moderador
  • Felipe, obrigado pela correção, realmente me passei feio na questao de ser diretiva de computador e nao de usuário.

     

    neste caso, para que minhas colocações tenham efeito, é so substituir o grupo ADMINISTRADORES pelo grupo de COMPUTADORES que deseja isentar do efeito da GPO.

     

    segunda-feira, 20 de outubro de 2008 14:17
  • Delagio

    Apesar de em posts anteriores eu ter dito que é possivel

    ter defnições de senha, bloqueio de conta diferentes em OU's e domino

    resolvi realizar testes até esgotar as possibilidades e retifico os posts dizendo que somente

    é possivel ter diretiva de senha, bloqueio de conta a nivel de dominio..mesmo aplicando a diretiva na OU

    que é carregada na estação , somente a aplicada ao dominio é aceita..

     

    abs,

     

     

    segunda-feira, 20 de outubro de 2008 18:22
    Moderador
  • Felipe e Delagio,
    Obrigado pelas dicas e posso dizer que também fiz testes em laboratório e pude comprovar ao vivo tudo que o Felipe falou.

    Mais uma vez obrigado a todos.

    quinta-feira, 23 de outubro de 2008 17:29
  • Ola Moraesas,

     

    Só para acrescentar ao tópico, tal funcionalidade nao pode ser feita desde o Windows 2000.. se deseja tal flexibilidade so criando novos domínios e isto é uma das boas praticas da MS em relação a segurancá qd a politica de senha é necessária.

     

    Mas há uma luz no fim do túnel, no Windows 2008 isto funciona.

     

     

     

    sábado, 25 de outubro de 2008 18:27