在Windows 2000和Windows 2003的活動目錄域中,我們只能夠在Default Domain Policy中為所有用戶配置應用一個密碼策略和帳戶鎖定策略,如果我們需要為一些特殊的用戶制定不同的密碼和帳戶鎖定策略,我們只能夠通過創建新域的方法,因為以前一個域只能夠使用一個密碼和帳戶鎖定策略。
Windows Server 2008 ADDS 中新增了一項功能,稱為精准密碼策略,可以用它在域中定義多個密碼策略,並且將它應用到用戶或者全局安全組中,注意,不是應用在OU中,要想使用此功能,我們需要借助ADSIEdit編輯器為域創建Password Settings objects (PSOs),下面來介紹具體的操作:
首先在08DC中打開ADSIEdit編輯器,定位到如下圖位置:
在“CN=Password Settings Container”節點右鍵選擇新建,在彈出窗口中選擇“msDS-PasswordSettings”類別,如下圖所示:
在彈出窗口中為msDS-PasswordSettingsPrecedence屬性設置一個值,該屬性為優先級設置,如果域中有多個密碼策略直接與用戶鏈接,將應用優先權值最小的策略,如下圖所示:
在彈出窗口為msDS-PasswordHistoryLength屬性設置一個值,該屬性在組策略中對應“強制密碼歷史”設置,可用值的范圍為0-1024,在此設置後單擊“下一步”,如下圖所示:
在彈出窗口中為msDS-MinimumPasswordLength屬性設置一個值,可用值范圍為0-255,該屬性在組策略中對應“密碼長度最小值”設置,在輸入框中設定後單擊“下一步”,如下圖所示:
在彈出窗口中為msDS-MaximumPasswordAge屬性設置一個值,該屬性在組策略中對應“密碼最長使用期限”,時間格式同上,設置後單擊“下一步”,如下圖所示:
在彈出窗口中為msDS-LockoutObservationWindow屬性設置一個時間值,格式與前面設置的時間格式一致,該屬性在組策略中對應“復位帳戶鎖定計數器”設置,在此設置為30分鐘,設置後單擊“下一步”,如下圖所示:
在完成窗口中單擊“完成”,如下圖所示:
在上面操作後返回的ADSIEdit中雙擊剛才創建好的Password Settings objects 對象,在彈出的屬性編輯窗口中找到 msDS-PSOAppliesTo屬性,單擊“編輯”,如下圖所示:
在彈出的窗口中選擇應用此Password Settings objects的目標對象,在此選擇已經事先創建好的test全局安全組,選擇完成後單擊“確定”,如下圖所示:
到這一步,策略已經應用到上面所選擇的組中了,只要是屬於test組中的成員就會應用上面所創建的密碼和帳戶鎖定策略,下面來測試一下結果,打開ADUC,先來測試一個沒有屬於test組的用戶,右擊user1帳戶,選擇重置密碼,輸入123後單擊確定,如下圖所示:
從上面截圖可以看到user1帳戶的密碼已經被重置成功,因為之前已經將Default Domain Policy設置成禁用密碼復雜性和最小密碼長度為0,所以可以使用這種簡單的密碼,現在將user1帳戶加入到test組中,如下圖所示:
下面再來使用簡單的密碼來重置一下,截圖如下:
可以看到user1加入test組之後立即應用上前面所創建的策略,現在已經不能夠使用之前的簡單密碼策略。
