在Windows Server 中配置精准密码策略和帐户锁定策略 在windows 和windows 的活动目录域中我们只能够在Default Domain Policy中为所有用户配置应用一个密码策略和帐户锁定策略如果我们需要为一些特殊的用户制定不同的密码和帐户锁定策略我们只能够通过创建新域的方法因为以前一个域只能够使用一个密码和帐户锁定策略 Windows Server ADDS 中新增了一项功能称为精准密码策略可以用它在域中定义多个密码策略并且将它应用到用户或者全局安全组中注意不是应用在OU中要想使用此功能我们需要借助ADSIEdit编辑器为域创建Password Settings objects (PSOs)下面来介绍具体的操作 首先在DC中打开ADSIEdit编辑器定位到如下图位置 在CN=Password Settings Container节点右键选择新建在弹出窗口中选择msDSPasswordSettings类别如下图所示 在紧接的窗口中为新建的Password Settings objects输入一个名称如下图所示 在弹出窗口中为msDSPasswordSettingsPrecedence属性设置一个值该属性为优先级设置如果域中有多个密码策略直接与用户链接将应用优先权值最小的策略如下图所示 在弹出窗口为msDSPasswordReversibleEncryptionEnabled属性设置一个布尔值可以设置FALSE / TRUE该属性在组策略中对应用可还原的加密来储存密码设置在此设置FALSE后单击下一步如下图所示 在弹出窗口为msDSPasswordHistoryLength属性设置一个值该属性在组策略中对应强制密码历史设置可用值的范围为在此设置后单击下一步如下图所示 在弹出窗口中为msDSPasswordComplexityEnabled属性设置一个布尔值可以设置FALSE / TRUE该属性在组策略中对应密码必须符合复杂性要求设置在此设置为启用单击下一步如下图所示 在弹出窗口中为msDSMinimumPasswordLength属性设置一个值可用值范围为该属性在组策略中对应密码长度最小值设置在输入框中设定后单击下一步如下图所示 在弹出窗口中为msDSMinimumPasswordAge属性设置一个值该属性在组策略中对应密码最短使用期限设置时间格式为:::在此设置为天:::设置后单击下一步如下图所示 在弹出窗口中为msDSMaximumPasswordAge属性设置一个值该属性在组策略中对应密码最长使用期限时间格式同上设置后单击下一步如下图所示 在弹出窗口中为msDSLockoutThreshold属性设置一个值该属性在组策略中对应帐户锁定阈值可用值范围为设置后单击下一步如下图所示 在弹出窗口中为msDSLockoutObservationWindow属性设置一个时间值格式与前面设置的时间格式一致该属性在组策略中对应复位帐户锁定计数器设置在此设置为分钟设置后单击下一步如下图所示 在弹出窗口中为msDSLockoutDuration属性设置一个时间值格式同上该属性在组策略中对应帐户锁定时间设置设置后单击下一步如下图所示 在完成窗口中单击完成如下图所示 至此一个自定义的密码和帐户锁定策略已经创建完成 那么如何应用在一些帐户上面呢?我们还需要进行下面几步简单操作 在上面操作后返回的ADSIEdit中双击刚才创建好的Password Settings objects 对象在弹出的属性编辑窗口中找到 msDSPSOAppliesTo属性单击编辑如下图所示 在弹出的窗口中选择应用此Password Settings objects的目标对象在此选择已经事先创建好的test全局安全组选择完成后单击确定如下图所示 到这一步策略已经应用到上面所选择的组中了只要是属于test组中的成员就会应用上面所创建的密码和帐户锁定策略下面来测试一下结果打开ADUC先来测试一个没有属于test组的用户右击user帐户选择重置密码输入后单击确定如下图所示 从上面截图可以看到user帐户的密码已经被重置成功因为之前已经将Default Domain Policy设置成禁用密码复杂性和最小密码长度为所以可以使用这种简单的密码现在将user帐户加入到test组中如下图所示 下面再来使用简单的密码来重置一下截图如下 可以看到user加入test组之后立即应用上前面所创建的策略现在已经不能够使用之前的简单密码策略 |