在Windows Server 2008中配置精準密碼策略和帳戶鎖定策略
阿新 • • 發佈:2019-02-03
在windows 2000和windows 2003的活動目錄域中,我們只能夠在Default Domain Policy中為所有使用者配置應用一個密碼策略和帳戶鎖定策略,如果我們需要為一些特殊的使用者制定不同的密碼和帳戶鎖定策略,我們只能夠通過建立新域的方法,因為以前一個域只能夠使用一個密碼和帳戶鎖定策略。
Windows Server 2008 ADDS
中新增了一項功能,稱為精準密碼策略,可以用它在域中定義多個密碼策略,並且將它應用到使用者或者全域性安全組中,注意,不是應用在OU中,要想使用此功能,
我們需要藉助ADSIEdit編輯器為域建立Password Settings objects (PSOs),下面來介紹具體的操作: 首先在08DC中開啟ADSIEdit編輯器,定位到如下圖位置: 在“CN=Password Settings Container”節點右鍵選擇新建,在彈出視窗中選擇“msDS-PasswordSettings”類別,如下圖所示: 在緊接的視窗中為新建的Password Settings objects輸入一個名稱,如下圖所示: 在彈出視窗中為msDS-PasswordSettingsPrecedence屬性設定一個值,該屬性為優先順序設定,如果域中有多個密碼策略直接與使用者連結,將應用優先權值最小的策略,如下圖所示: 在彈出視窗為msDS-PasswordReversibleEncryptionEnabled 屬性設定一個布林值,可以設定FALSE / TRUE,該屬性在組策略中對應“用可還原的加密來儲存密碼”設定,在此設定FALSE後單擊“下一步”,如下圖所示: 在彈出視窗為msDS-PasswordHistoryLength屬性設定一個值,該屬性在組策略中對應“強制密碼歷史”設定,可用值的範圍為0-1024,在此設定後單擊“下一步”,如下圖所示: 在彈出視窗中為msDS-PasswordComplexityEnabled屬性設定一個布林值,可以設定FALSE / TRUE,該屬性在組策略中對應“密碼必須符合複雜性要求”設定,在此設定為啟用,單擊“下一步”,如下圖所示: 在彈出視窗中為msDS-MinimumPasswordLength屬性設定一個值,可用值範圍為0-255,該屬性在組策略中對應“密碼長度最小值”設定,在輸入框中設定後單擊“下一步”,如下圖所示: 在彈出視窗中為msDS-MinimumPasswordAge屬性設定一個值,該屬性在組策略中對應“密碼最短使用期限”設定,時間格式為“00:00:00:00”,在此設定為1天,1:00:00:00,設定後單擊“下一步”,如下圖所示: 在彈出視窗中為msDS-MaximumPasswordAge屬性設定一個值,該屬性在組策略中對應“密碼最長使用期限”,時間格式同上,設定後單擊“下一步”,如下圖所示: 在彈出視窗中為msDS-LockoutThreshold屬性設定一個值,該屬性在組策略中對應“帳戶鎖定閾值”,可用值範圍為0-65535,設定後單擊“下一步”,如下圖所示: 在彈出視窗中為msDS-LockoutObservationWindow屬性設定一個時間值,格式與前面設定的時間格式一致,該屬性在組策略中對應“復位帳戶鎖定計數器”設定,在此設定為30分鐘,設定後單擊“下一步”,如下圖所示: 在彈出視窗中為msDS-LockoutDuration屬性設定一個時間值,格式同上,該屬性在組策略中對應“帳戶鎖定時間”設定,設定後單擊“下一步”,如下圖所示: 在完成視窗中單擊“完成”,如下圖所示: 至此,一個自定義的密碼和帳戶鎖定策略已經建立完成, 那麼如何應用在一些帳戶上面呢?我們還需要進行下面幾步簡單操作... 在上面操作後返回的ADSIEdit中雙擊剛才建立好的Password Settings objects 物件,在彈出的屬性編輯視窗中找到 msDS-PSOAppliesTo屬性,單擊“編輯”,如下圖所示: 在彈出的視窗中選擇應用此Password Settings objects的目標物件,在此選擇已經事先建立好的test全域性安全組,選擇完成後單擊“確定”,如下圖所示:
到這一步,策略已經應用到上面所選擇的組中了,只要是屬於test組中的成員就會應用上面所建立的密碼和帳戶鎖定策略,下面來測試一下結果,開啟
ADUC,先來測試一個沒有屬於test組的使用者,右擊user1帳戶,選擇重置密碼,輸入123後單擊確定,如下圖所示: 從上面截圖可以看到user1帳戶的密碼已經被重置成功,因為之前已經將Default Domain Policy設定成禁用密碼複雜性和最小密碼長度為0,所以可以使用這種簡單的密碼,現在將user1帳戶加入到test組中,如下圖所示: 下面再來使用簡單的密碼來重置一下,截圖如下: 可以看到user1加入test組之後立即應用上前面所建立的策略,現在已經不能夠使用之前的簡單密碼策略。