在windows 2000和windows 2003的活動目錄域中,我們只能夠在Default Domain Policy中為所有用戶配置應用一個密碼策略和帳戶鎖定策略,如果我們需要為一些特殊的用戶制定不同的密碼和帳戶鎖定策略,我們只能夠通過創建新域的方法,因為以前一個域只能夠使用一個密碼和帳戶鎖定策略。
Windows Server 2008 ADDS 中新增了一項功能,稱為精准密碼策略,可以用它在域中定義多個密碼策略,並且將它應用到用戶或者全局安全組中,注意,不是應用在OU中,要想使用此功能,我們需要借助ADSIEdit編輯器為域創建Password Settings objects (PSOs),下面來介紹具體的操作:
首先在08DC中打開ADSIEdit編輯器,定位到如下圖位置:
在“CN=Password Settings Container”節點右鍵選擇新建,在彈出窗口中選擇“msDS-PasswordSettings”類別,如下圖所示:
在緊接的窗口中為新建的Password Settings objects輸入一個名稱,如下圖所示:
在彈出窗口中為msDS-PasswordSettingsPrecedence屬性設置一個值,該屬性為優先級設置,如果域中有多個密碼策略直接與用戶鏈接,將應用優先權值最小的策略,如下圖所示:
在彈出窗口為msDS-PasswordReversibleEncryptionEnabled屬性設置一個布爾值,可以設置FALSE / TRUE,該屬性在組策略中對應“用可還原的加密來儲存密碼”設置,在此設置FALSE後單擊“下一步”,如下圖所示:
在彈出窗口為msDS-PasswordHistoryLength屬性設置一個值,該屬性在組策略中對應“強制密碼歷史”設置,可用值的范圍為0-1024,在此設置後單擊“下一步”,如下圖所示:
在彈出窗口中為msDS-PasswordComplexityEnabled屬性設置一個布爾值,可以設置FALSE / TRUE,該屬性在組策略中對應“密碼必須符合復雜性要求”設置,在此設置為啟用,單擊“下一步”,如下圖所示:
在彈出窗口中為msDS-MinimumPasswordLength屬性設置一個值,可用值范圍為0-255,該屬性在組策略中對應“密碼長度最小值”設置,在輸入框中設定後單擊“下一步”,如下圖所示:
在彈出窗口中為msDS-MinimumPasswordAge屬性設置一個值,該屬性在組策略中對應“密碼最短使用期限”設置,時間格式為“00:00:00:00”,在此設置為1天,1:00:00:00,設置後單擊“下一步”,如下圖所示:
在彈出窗口中為msDS-MaximumPasswordAge屬性設置一個值,該屬性在組策略中對應“密碼最長使用期限”,時間格式同上,設置後單擊“下一步”,如下圖所示:
在彈出窗口中為msDS-LockoutThreshold屬性設置一個值,該屬性在組策略中對應“帳戶鎖定阈值”,可用值范圍為0-65535,設置後單擊“下一步”,如下圖所示:
在彈出窗口中為msDS-LockoutObservationWindow屬性設置一個時間值,格式與前面設置的時間格式一致,該屬性在組策略中對應“復位帳戶鎖定計數器”設置,在此設置為30分鐘,設置後單擊“下一步”,如下圖所示:
在彈出窗口中為msDS-LockoutDuration屬性設置一個時間值,格式同上,該屬性在組策略中對應“帳戶鎖定時間”設置,設置後單擊“下一步”,如下圖所示:
在完成窗口中單擊“完成”,如下圖所示:
至此,一個自定義的密碼和帳戶鎖定策略已經創建完成, 那麼如何應用在一些帳戶上面呢?我們還需要進行下面幾步簡單操作...
在上面操作後返回的ADSIEdit中雙擊剛才創建好的Password Settings objects 對象,在彈出的屬性編輯窗口中找到 msDS-PSOAppliesTo屬性,單擊“編輯”,如下圖所示:
在彈出的窗口中選擇應用此Password Settings objects的目標對象,在此選擇已經事先創建好的test全局安全組,選擇完成後單擊“確定”,如下圖所示:
到這一步,策略已經應用到上面所選擇的組中了,只要是屬於test組中的成員就會應用上面所創建的密碼和帳戶鎖定策略,下面來測試一下結果,打開ADUC,先來測試一個沒有屬於test組的用戶,右擊user1帳戶,選擇重置密碼,輸入123後單擊確定,如下圖所示: