Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows Server系統教程 >> Windows Server教程 >> Win 2008精准密碼策略和帳戶鎖定策略

Win 2008精准密碼策略和帳戶鎖定策略

日期:2017/1/24 10:59:03      編輯:Windows Server教程

   在Windows 2000和Windows 2003的活動目錄域中,我們只能夠在Default Domain Policy中為所有用戶配置應用一個密碼策略和帳戶鎖定策略,如果我們需要為一些特殊的用戶制定不同的密碼和帳戶鎖定策略,我們只能夠通過創建新域的方法,因為以前一個域只能夠使用一個密碼和帳戶鎖定策略。

  Windows Server 2008 ADDS 中新增了一項功能,稱為精准密碼策略,可以用它在域中定義多個密碼策略,並且將它應用到用戶或者全局安全組中,注意,不是應用在OU中,要想使用此功能,我們需要借助ADSIEdit編輯器為域創建Password Settings objects (PSOs),下面來介紹具體的操作:

  首先在08DC中打開ADSIEdit編輯器,定位到如下圖位置:

   


    
    在“CN=Password Settings Container”節點右鍵選擇新建,在彈出窗口中選擇“msDS-PasswordSettings”類別,如下圖所示:
    
   

 

 


    
    在緊接的窗口中為新建的Password Settings objects輸入一個名稱,如下圖所示:

   

    
   在彈出窗口中為msDS-PasswordSettingsPrecedence屬性設置一個值,該屬性為優先級設置,如果域中有多個密碼策略直接與用戶鏈接,將應用優先權值最小的策略,如下圖所示:

   

 

 


    
    在彈出窗口為msDS-PasswordReversibleEncryptionEnabled屬性設置一個布爾值,可以設置FALSE / TRUE,該屬性在組策略中對應“用可還原的加密來儲存密碼”設置,在此設置FALSE後單擊“下一步”,如下圖所示:

   

    
    在彈出窗口為msDS-PasswordHistoryLength屬性設置一個值,該屬性在組策略中對應“強制密碼歷史”設置,可用值的范圍為0-1024,在此設置後單擊“下一步”,如下圖所示:

   

 

 


    
    在彈出窗口中為msDS-PasswordComplexityEnabled屬性設置一個布爾值,可以設置FALSE / TRUE,該屬性在組策略中對應“密碼必須符合復雜性要求”設置,在此設置為啟用,單擊“下一步”,如下圖所示:

   


    
    在彈出窗口中為msDS-MinimumPasswordLength屬性設置一個值,可用值范圍為0-255,該屬性在組策略中對應“密碼長度最小值”設置,在輸入框中設定後單擊“下一步”,如下圖所示:

   

 

 


    
    在彈出窗口中為msDS-MinimumPasswordAge屬性設置一個值,該屬性在組策略中對應“密碼最短使用期限”設置,時間格式為“00:00:00:00”,在此設置為1天,1:00:00:00,設置後單擊“下一步”,如下圖所示:

   


    
    在彈出窗口中為msDS-MaximumPasswordAge屬性設置一個值,該屬性在組策略中對應“密碼最長使用期限”,時間格式同上,設置後單擊“下一步”,如下圖所示:
    
   

 

 


    
    在彈出窗口中為msDS-LockoutThreshold屬性設置一個值,該屬性在組策略中對應“帳戶鎖定阈值”,可用值范圍為0-65535,設置後單擊“下一步”,如下圖所示:

   


    
    在彈出窗口中為msDS-LockoutObservationWindow屬性設置一個時間值,格式與前面設置的時間格式一致,該屬性在組策略中對應“復位帳戶鎖定計數器”設置,在此設置為30分鐘,設置後單擊“下一步”,如下圖所示:

   

 

 


    
    在彈出窗口中為msDS-LockoutDuration屬性設置一個時間值,格式同上,該屬性在組策略中對應“帳戶鎖定時間”設置,設置後單擊“下一步”,如下圖所示:

   

    
    在完成窗口中單擊“完成”,如下圖所示:

   

 

 


    
    至此,一個自定義的密碼和帳戶鎖定策略已經創建完成, 那麼如何應用在一些帳戶上面呢?我們還需要進行下面幾步簡單操作...

  在上面操作後返回的ADSIEdit中雙擊剛才創建好的Password Settings objects 對象,在彈出的屬性編輯窗口中找到 msDS-PSOAppliesTo屬性,單擊“編輯”,如下圖所示:

   


    
    在彈出的窗口中選擇應用此Password Settings objects的目標對象,在此選擇已經事先創建好的test全局安全組,選擇完成後單擊“確定”,如下圖所示:

   

 

 

   
    到這一步,策略已經應用到上面所選擇的組中了,只要是屬於test組中的成員就會應用上面所創建的密碼和帳戶鎖定策略,下面來測試一下結果,打開ADUC,先來測試一個沒有屬於test組的用戶,右擊user1帳戶,選擇重置密碼,輸入123後單擊確定,如下圖所示:

   

      
    從上面截圖可以看到user1帳戶的密碼已經被重置成功,因為之前已經將Default Domain Policy設置成禁用密碼復雜性和最小密碼長度為0,所以可以使用這種簡單的密碼,現在將user1帳戶加入到test組中,如下圖所示:

   

 

 

    下面再來使用簡單的密碼來重置一下,截圖如下:
  
   


    
    可以看到user1加入test組之後立即應用上前面所創建的策略,現在已經不能夠使用之前的簡單密碼策略。

 

Copyright © Windows教程網 All Rights Reserved