在Windows Server 中配置精准密碼策略和帳戶鎖定策略
在windows 和windows 的活動目錄域中我們只能夠在Default Domain Policy中為所有用戶配置應用一個密碼策略和帳戶鎖定策略如果我們需要為一些特殊的用戶制定不同的密碼和帳戶鎖定策略我們只能夠通過創建新域的方法因為以前一個域只能夠使用一個密碼和帳戶鎖定策略
Windows Server ADDS 中新增了一項功能稱為精准密碼策略可以用它在域中定義多個密碼策略並且將它應用到用戶或者全局安全組中注意不是應用在OU中要想使用此功能我們需要借助ADSIEdit編輯器為域創建Password Settings objects (PSOs)下面來介紹具體的操作
首先在DC中打開ADSIEdit編輯器定位到如下圖位置
在CN=Password Settings Container節點右鍵選擇新建在彈出窗口中選擇msDSPasswordSettings類別如下圖所示
在緊接的窗口中為新建的Password Settings objects輸入一個名稱
如下圖所示
在彈出窗口中為msDSPasswordSettingsPrecedence屬性設置一個值該屬性為優先級設置如果域中有多個密碼策略直接與用戶鏈接將應用優先權值最小的策略如下圖所示
在彈出窗口為
msDSPasswordReversibleEncryptionEnabled屬性設置一個布爾值
可以設置FALSE / TRUE
該屬性在組策略中對應
用可還原的加密來儲存密碼
設置
在此設置FALSE後單擊
下一步
如下圖所示
在彈出窗口為msDSPasswordHistoryLength屬性設置一個值該屬性在組策略中對應強制密碼歷史設置可用值的范圍為在此設置後單擊下一步如下圖所示
在彈出窗口中為
msDSPasswordComplexityEnabled屬性設置一個布爾值
可以設置FALSE / TRUE
該屬性在組策略中對應
密碼必須符合復雜性要求
設置
在此設置為啟用
單擊
下一步
如下圖所示
在彈出窗口中為msDSMinimumPasswordLength屬性設置一個值可用值范圍為該屬性在組策略中對應密碼長度最小值設置在輸入框中設定後單擊下一步如下圖所示
在彈出窗口中為
msDSMinimumPasswordAge屬性設置一個值
該屬性在組策略中對應
密碼最短使用期限
設置
時間格式為
:
:
:
在此設置為
天
:
:
:
設置後單擊
下一步
如下圖所示
在彈出窗口中為msDSMaximumPasswordAge屬性設置一個值該屬性在組策略中對應密碼最長使用期限時間格式同上設置後單擊下一步如下圖所示
在彈出窗口中為
msDSLockoutThreshold屬性設置一個值
該屬性在組策略中對應
帳戶鎖定阈值
可用值范圍為
設置後單擊
下一步
如下圖所示
在彈出窗口中為msDSLockoutObservationWindow屬性設置一個時間值格式與前面設置的時間格式一致該屬性在組策略中對應復位帳戶鎖定計數器設置在此設置為分鐘設置後單擊下一步如下圖所示
在彈出窗口中為msDSLockoutDuration屬性設置一個時間值格式同上該屬性在組策略中對應帳戶鎖定時間設置設置後單擊下一步如下圖所示
在完成窗口中單擊完成如下圖所示
至此一個自定義的密碼和帳戶鎖定策略已經創建完成 那麼如何應用在一些帳戶上面呢?我們還需要進行下面幾步簡單操作
在上面操作後返回的ADSIEdit中雙擊剛才創建好的Password Settings objects 對象在彈出的屬性編輯窗口中找到 msDSPSOAppliesTo屬性單擊編輯如下圖所示
在彈出的窗口中選擇應用此Password Settings objects的目標對象在此選擇已經事先創建好的test全局安全組選擇完成後單擊確定如下圖所示
到這一步策略已經應用到上面所選擇的組中了只要是屬於test組中的成員就會應用上面所創建的密碼和帳戶鎖定策略下面來測試一下結果打開ADUC先來測試一個沒有屬於test組的用戶右擊user帳戶選擇重置密碼輸入後單擊確定如下圖所示
從上面截圖可以看到user帳戶的密碼已經被重置成功因為之前已經將Default Domain Policy設置成禁用密碼復雜性和最小密碼長度為所以可以使用這種簡單的密碼現在將user帳戶加入到test組中如下圖所示
下面再來使用簡單的密碼來重置一下截圖如下
可以看到user加入test組之後立即應用上前面所創建的策略現在已經不能夠使用之前的簡單密碼策略
From:http://tw.wingwit.com/Article/os/xtgl/201311/8730.html