Synchronizacja hashów haseł z Azure AD do lokalnego AD.
Domyślnie, synchronizacja hashów haseł w Azure AD Connect jest od lokalnego Active Directory do Azure Active Directory. A co, gdyby zrobić także synchronizację haseł w drugą stronę? Czyli reset hasła z Azure AD i replikacja do lokalnego AD?
Na samym początku musimy mieć wstępnie skonfigurowanego AAD Connect oraz znać konto, które dokonuje synchronizacji:
Drugim wymaganiem jest skonfigurowane SSPR, które opisałem w tym poście.
Wstępna konfiguracja wygląda w taki sposób, że otwieramy Azure AD Connect na serwerze, gdzie jest on zainstalowany, przechodzimy do opcji: Customize Synchronization Options, logujemy się odpowiednimi danymi i w dodatkowych opcjach zaznaczamy Password writeback
Zatwierdzamy konfigurację, przechodzimy do przystawki Active Directory Users and Computers
Klikamy prawym przyciskiem na naszą domenę, wybieramy Delegate Control, w drugim kroku wybieramy użytkownika MSOL, którego znaleźliśmy wcześniej, w polu: Tasks to delegate zaznaczamy Create a custom task to delegate, natomiast w Delegate Control of: wybieramy Users objects
W kroku Select the permissions you want to delegate zaznaczamy dwie pierwsze opcje czyli:
- General
- Property-specific
A z listy musimy wybrać:
- Change password
- Reset password
- Write lockoutTime
- Write pwdLastSet
Ostatnim krokiem, który musimy wykonać jest skonfigurowanie GPO, aby hasło nie musiało być starsze niż jeden dzień zanim zostanie zmienione.
Źródło: Microsoft Docs
Dokonujemy tego w sposób:
1) Otwieramy Group Policy Management Editor 2) Edytujemy odpowiednią politykę GPO, ja edytuję domyślną 3) Przechodzimy do: Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy i edytujemy ustawienie: Minimum password age zgodnie z tym co na screenie:
Co ważne – polityka haseł dla użytkowników z on-prem jest teraz sterowana przez lokalne AD, w związku z czym polecam przejrzeć pozostałe ustawienia w Password Policy, abyście się nie nacieli na to, że nagle reset hasła dla użytkownika nie działa poprawnie.
Pytania? Standardowo zapraszam do komentarzy.