Windows Server2012如何實現密碼顆粒化管理

 

隨著IT技術的日趨成熟，企業中賬號的安全管理也越來越嚴格，其中賬號密碼的管理尤為重要，通常保證賬號密碼安全的方法是通過在域的級別統一配置賬號和密碼組策略，從而實現企業密碼的統一化。但事實上，企業中不同用戶賬號的密碼的重要性是不同的，比如IT管理員的賬號密碼相對於普通用戶的賬號密碼來說更為重要，除此之外，過於復雜的密碼對於專門運維的人員來說，記憶起來可能不太困難，但對於普通用戶來講，記憶起來並不是一件容易的事情，因此，針對管理員賬號和普通域用戶賬號分別配置一套密碼策略的需求就應運而生了。

那麼究竟如何實現不同用戶密碼策略的顆粒化管理呢？很多對密碼組策略不太了解的管理員是這麼做的：將管理員賬號和普通域用戶賬號放在規劃好的不同OU內，然後在不同的OU下面掛載不同的組策略，並分別配置不同的密碼策略，實現不同類型用戶密碼策略的管理。這種做法看上去貌似完美的實現了密碼的顆粒化管理，但究竟能不能實現我們預期的效果呢？可以肯定的說，這樣做是無法達到我們的預期。那如果無法達到預期的效果，那麼不同OU下配置的密碼策略影響的又是什麼呢？接下來我們將通過實驗來做個探究。

實驗環境：
安裝了windows server2012R2系統的服務器DC1和SVR1，其中DC1為域控制器，SVR1為加入域內的計算機，其它的配置如下： 服務器名稱 賬號類型 賬號 隸屬組 隸屬OU  
DC1  
域用戶 admin Domain Admins
Domain Users 管理員 user Domain Users 普通用戶 域內計算機 SVR1 / / SVR1 本地賬號 Tom / /

接下來，進行實驗的配置過程：
第一步：創建組策略對象並實現組策略的鏈接
在DC1上，通過服務器管理器-工具-組策略管理，打開組策略管理控制台，然後在組策略對象中分別創建管理員GPO和普通用戶GPO，並將其分別鏈接到管理員和普通用戶OU下面，如圖所示：

第二步：編輯域、管理員OU、普通用戶OU三個級別的密碼策略

1、選中Default Domain Policy，右鍵編輯，在打開的組策略管理編輯器中依次展開：計算機配置-策略-windows設置-安全設置-賬戶策略-密碼策略，並按照如下圖參數設置：
這裡我們重點關注默認域策略下的密碼最小長度為10位。

2、同樣的方法，選中管理員GPO-編輯，配置管理員OU下的密碼策略如下：
這裡我們重點關注密碼長度的最小值為8位。

3、繼續用同樣的方法，選中普通用戶GPO-編輯，配置管理員OU下的密碼策略如下：
這裡我們重點關注密碼長度的最小值為6位。

第三步：驗證最終有效的密碼策略。

1、在DC1上，打開命令提示符，運行gpupdate /force命令更新配置的組策略：

2、打開AD用戶和計算機，打開管理員的OU，嘗試重置管理員組用戶admin的密碼為8位的1qaz@WSX，彈出如下提示：

3、打開普通用戶的OU，嘗試重置普通域用戶user1的密碼為6位的1qaz@W，彈出如下提示：

4、重新打開管理員OU下重置admin密碼為10位的1qaz@WSX#E，重置user的密碼為10位的1qaz@WSX#E，發現均提示密碼已被更改，說明更改成功。        
也就是說，我們在管理員OU和普通用戶OU分別配置的管理員GPO和普通用戶GPO的密碼策略並沒有生效，只有域級別配置的密碼策略生效了，整個域內只能有一套密碼策略，無法通過針對不同OU配置密碼策略的方式實現密碼策略的顆粒化管理。那麼問題是，我們在不同OU下配置的密碼策略究竟在哪裡生效了呢？繼續向下驗證。

5、切換到SVR1下，用域的管理員賬號登錄，打開命令提示符，運行gpupdate /force命令更新組策略。然後打開本地用戶和組，此時我們嘗試重置SVR1上創建的本地用戶Tom的密碼為4位的1qaz，此時彈出錯誤提示：密碼不滿足密碼策略的要求，但我們並沒有在本地策略配置任何的密碼策略，並且本地密碼策略默認是未定義，繼續驗證。
此時嘗試將Tom的密碼重置為6位的1qaz@W，最終提示：密碼已設置。

說明6位的新密碼滿足了密碼策略的要求，並且該密碼策略並不是來自本地，回顧我們實驗環境的配置發現，與SVR1相關聯的密碼策略的配置只有SVR1計算機賬號所屬的OU普通用戶下的密碼策略，也就是說，雖然OU下的密碼策略不能對該OU內的域用戶賬號生效，但對該OU內的計算機本地的用戶生效。
綜上所述，一個域內只能有一套密碼策略，並且只有域級別的密碼策略生效，而OU下的密碼策略只對OU內計算機的本地賬號生效。這似乎與我們學習的組策略的應用順序和有效性原則是相悖的，但仔細想想卻又是合情合理的，賬號的密碼安全關系重大，實現統一化的管理也是十分必要的。但是，這並沒有幫助我們對不同用戶實現密碼的顆粒化管理，那麼究竟如何實現呢？請參考Windows Server2012實現多元化密碼策略（二）進行學習。

在上一節Windows Server2012實現密碼顆粒化管理（一）中學習了，一個域內只能有一套密碼策略，並且只有域的級別配置的密碼策略才是有效的，但這並沒有幫我們解決實現一個域內為不同類型的用戶配置差異的密碼策略實現用戶密碼的顆粒化管理。那麼在這一節，我們將著重討論如何在windows環境下實現密碼的顆粒化管理。

在Windows Server2008以前，要想實現一個域內兩套密碼策略，沒有其他辦法，只能通過新增一個域，然後將管理員賬號單獨放在新增的域內，在新增的域的級別配置密碼策略，而在現有的域內為普通的域用戶配置統一的密碼策略，這種方法雖然也可以實現我們的需求，但是實際操作既要新增域又要考慮跨域管理訪問的問題，非常麻煩。

而在Windows Server 2008版本中就出現了可以實現一個域內為不同用戶分別設置不同密碼配置的多元化密碼策略。在windows server 2008版本中配置多元化密碼策略，需要在ADSI編輯器中打開域分區，找到System容器，展開後找到Password Settings Container，然後新建對象，按照向導一步步實現多元化密碼策略的配置，並且配置完後還需要指定將密碼策略應用到哪些安全主體後才可以使用（如下圖所示）。

雖然Windows server2008提供了密碼的顆粒化管理，但是我們可以看到實施起來是非常麻煩的，而且出錯的可能性也比較大。而在Windows server2012中對這個功能在操作方面進行了很大的改進，我們不需要打開ADSI編輯器，直接通過Windows server 2012中的Active Directory管理中心輕而易舉的設置多元化的密碼策略。而要設置多元化的密碼策略之前需要一些先決條件的准備：

1、權限：domain admins組內的成員
2、域的功能級別：windows server 2008或者更高
3、管理的控制台：windows server2012版本中的Active Directory管理中心

實驗環境：安裝有windows server2012R2系統的計算機DC1，並已配置成為一台域名為contoso.com內的域控制器。
那麼接下來將基於當前的實驗環境，來演示一下多元化密碼策略的部署過程：

第一步：提升域的功能級別
用域內默認管理員賬號登錄DC1。域功能級別的提升可以打開AD用戶和計算機或AD管理中心或AD域和信任關系等控制台，在域的級別右擊來實現，這裡只演示在AD管理中心中提升域的功能級別：

可以看到當前的功能級別為windows server2012R2，所以滿足域功能級別的先決條件。

第二步：准備測試賬號
在AD用戶和計算機中管理控制台中，新建組織單位test，然後在test下，新建普通域賬號Aaron和White，然後將Aaron添加到domain admins組內作為管理員賬號。