Windows Server 2008 為組織提供了一種方法,使得組織能在某一域中針對不同的用戶集來定義不同的密碼和賬號鎖定策略。在Windows 2000及Windows Server 2003的活動目錄域中,只有一種密碼和賬戶鎖定策略能被應用到域中的所有用戶。這些策略被定義在默認的域策略中。因此,希望針對不同的用戶集采取不同的密碼及賬戶鎖定組織不得不建立密碼策略篩選器或者部署多個域。這些選擇會因為不同的原因而照成高昂的代價。
顆粒化的密碼策略能干什麼?
你能夠使用顆粒化的密碼策略在同一個域內指定多樣化的密碼策略。你能夠使用顆粒化的密碼策略對同一域內的不同用戶集應用不同的密碼和賬號鎖定策略限制。
舉例來說,你能夠針對特權賬號使用嚴密的設定,而對其它用戶使用不太嚴密的設定。在其他場景中,比如你希望對密碼與其它數據源同步的賬號應用特殊的策略。
還有其它要特別考慮的嗎?
顆粒化的密碼策略值應用於用戶對象(或者用來替代用戶對象的inetOrgPerson對象)以及全局安全組。在默認情況下,只有Domain Admins組的成員才能設置本策略。然而,你也能夠委派其他用戶來設置此策略。但是域功能級必須是Windows Server 2008。
顆粒化的密碼策略不能被直接應用到OU。但是為了達到此目的,你可以使用影子組。
影子組實質上是全局安全組,在邏輯上被映射到OU,用來強化顆粒化密碼策略。你向OU添加用戶就好像向影子組添加成員一樣,隨後將顆粒化密碼策略應用到影子組。你能夠根據你的需要為其它OU創建偶外的影子組。如果你從一個OU向另一個OU移動用戶,那麼你必須將賬戶組成員屬性更新到對應的影子組。
顆粒化的密碼策略不受你必須在同一域中應用的自定義的密碼策略篩選器的影響。將自定義的密碼策略篩選器部署到使用Windows 2000 or Windows Server 2003作為域控制器的組織,能夠繼續使用這些篩選器來強化額外的密碼限制。
這項特性提供了什麼新功能?
儲存顆粒化密碼策略
為了儲存顆粒化密碼策略,Windows Server 2008在AD DS架構中包含了兩個新的對象類:
密碼設置容器(Password Settings Container)
密碼設置(Password Settings)
密碼設置容器默認被創建在域的系統容器下。你能夠通過使用活動目錄用戶與計算並啟用高級特性來查看。它為域儲存了密碼設置對象(Password Settings objects 一下簡稱PSOs)。
你不能夠重命名,移動,或者刪除這個容器。盡管你能夠創建額外的自定義的密碼設置容器,他們不被針對一個對象計算的組策略結果集計算在內。因此創建額外的自定義的密碼設置容器不被推薦。
密碼設置對像包含了能在默認域策略中定義的所有屬性設置(除了Kerberos設置)。這些設置包含了以下密碼設置屬性:
強制密碼歷史
密碼最長使用期限
密碼最短使用期限
密碼長度最小值
密碼必須符合復雜性要求
用可還原的加密來儲存密碼
這些設定也包含了以下的賬戶鎖定設置
賬戶鎖定時間
賬戶鎖定阈值
復位賬戶鎖定計數器
另外,PSO也包含了以下兩個新屬性:
PSO鏈接:這是鏈接到用戶或者組對象的多值屬性
優先:這是一個用來解決多個PSO被應用到一個單個用戶或組對象產生沖突的整數值
這九個屬性值必須被定義,缺一不可。來自多個PSO的設置不能被合並。
定義顆粒化密碼策略的范圍
PSO能夠被鏈接到和PSO在同一域中的用戶(或者inetOrgPerson)或者組對象。
PSO包含了描述PSO正向鏈接的屬性值,msDS-PSOApplies。msDS-PSOApplies是一個多值屬性。因此你能夠將一個PSO鏈接到多個用戶或組。
稱為msDS-PSOApplied的新屬性值在2008中被添加到用戶和組對象。這個屬性包含了PSO的反向鏈接。因為msDS-PSOApplied屬性有反向鏈接,因此一個用戶或組可以被多個PSO應用。你能夠將PSO鏈接除了全局安全組之外的其它類型的組。
使用圖形界面(adsiedit.msc)建立PSO
1. 單擊開始按鈕,單擊運行,輸入 adsiedit.msc ,單擊確定
*如果你是在DC上第一次運行adsiedit.msc,請繼續看第二步,不是的話跳到第四步。
2. 在ADSI EDIT界面中,右擊ADSI Edit,再單擊連接到
3. 在Name屬性框中輸入你想要創建PSO的域的完全合格域名(FQDN),然後單擊確定
4. 雙擊域
5. 雙擊DC=<域名>
6. 雙擊CN=System
7. 雙擊密碼設置
8. 右擊 CN=Password Settings Container,單擊新建,再單擊對象
9. 在建立對象對話框中,選擇msDS-PasswordSettings,單擊下一步
10. 輸入PSO的名稱,單擊下一步
11. 根據向導,輸入必備屬性
msDS-PasswordReversibleEncryptionEnabled
屬性名稱 描述 例值
msDS-PasswordSettingsPrecedence 密碼設置優先級 10
msDS-PasswordReversibleEncryptionEnabled 用可還原的加密來儲存密碼 FALSE
msDS-PasswordHistoryLength 歷史密碼長度 24
msDS-PasswordComplexityEnabled 用戶密碼復雜程度 TRUE
msDS-MinimumPasswordLength 用戶密碼長度最小值 8
msDS-MinimumPasswordAge 密碼最短使用期限
(只允許負值,計算方法見文末)
-864000000000 (1 day)
msDS-MaximumPasswordAge 密碼最長使用期限
(只允許負值,計算方法見文末)
-17280000000000 (20 days)
msDS-LockoutThreshold 賬戶鎖定阈值 0
msDS-LockoutObservationWindow 復位賬戶鎖定計數器的時間
(只允許負值,計算方法見文末) -18000000000 (30 minutes)
msDS-LockoutDuration 賬戶鎖定時間
(只允許負值,計算方法見文末) -18000000000 (30 minutes)
msDS-PSOAppliesTo PSO被應用到(正向連接) CN=u1,CN=Users,
12. 在向導的最後一頁,單擊更多屬性
13. 在選擇查看何種屬性菜單中,單擊可選或者兩者
14. 在選擇一種屬性進行查看的下拉菜單中,選擇msDS-PSOAppliesTo
15. 在編輯屬性中,添加需要應用PSO的用戶和全局安全組的相對可分辨名稱
16. 重復第15步,如果你需要將PSO應用到多個用戶和全局安全組
17. 單擊完成
附:某些涉及時間屬性值的確定
時間單位 運算方法
'm' minutes -60*(10^7) = - 600000000
'h' hours -60*60* (10^7) = -36000000000
'd' days -24*60*60*(10^7) = -864000000000