用戶今天有一個需求,要給一個ou設置單獨的密碼策略,他們的Windows Server服務器版本是2008R2企業版,由於密碼策略只能在默認域策略中定義,無法對單個特定的用戶組設定密碼策略,Server 2008之後多了一個新的功能,有兩種叫法,多元化密碼策略和顆粒化密碼策略
用戶需求很簡單,讓他們應用組的成員不要繼承默認的密碼策略,默認的是90天修改密碼,閾值5次,修改爲999天,閾值999,感覺就跟開玩笑一樣
下面用我測試環境進行操作,最後說一個實際操作中遇到的問題
= = 新建一個安全組,密碼策略需要依靠安全組來實現
然後將sijia加入Password安全組中
= = 打開ADSI編輯器,創建新的對象,現在就是在創建一條單獨的密碼策略
1)鍵入密碼策略名稱
2)注意語法類型是整數類型,0-9數字,不可以出現小數點
3)布爾型,只能出現True 或 False,用可還原的加密存儲密碼,選擇False
4)密碼歷史長度,比如密碼歷史長度設置爲1,你這次使用了密碼123,下次修改密碼時密碼不可以是123,第二次修改密碼時纔可以繼續使用123
5)密碼複雜性,選擇False
6)最小密碼長度,我這裏選擇的8,後續可以更改
7)語法是持續時間,必須以天:時:分:秒的格式輸入,我輸入的998
8)最短時間和最大時間不可以一致,最大設置998
9)用戶多少次錯誤密碼鎖定賬戶
10)賬戶鎖定持續時間,設置的是一秒
11)賬戶解除閥值時間,也是一秒
12)完成後打開對象屬性,找到msDS-PSAppliesTo這個值
13)將創建好的安全組添加到值中,記住開始我將用戶已經添加到了安全組中
14)爲了方便測試,我將最短密碼長度修改爲1
= = 測試密碼測試是否生效
1)我之前將最短密碼長度修改爲1,由於域內非Password安全組的用戶還是繼承域密碼策略的,還是具有密碼複雜性,不能修改密碼
2)sijia這個用戶是Password安全組中的用戶
3)使用1位數密碼修改成功,說明密碼策略是生效的
= = 用戶生產環境應用密碼策略遇到的問題
1)在創建完密碼策略時,反覆測試密碼策略不生效,排除了創建的值得問題,只要寫對語法創建完成時就不會報錯,比如整數型 輸入1-9的數字,布爾型 輸入 True或False, 持續時間 輸入 天:時:分:秒
2)還有一個可能就是用戶的域級別不是2008,後來查看用戶域級別發現是2003
需要提升域功能級別,這裏肯定有人會問,提升林和域級別會不會對生產環境和用戶環境造成影響,答案是不會,除非你域中有03的域控,域級別和林級別提升後,就不支持03域控了,此外,沒有其他風險
3)提升林功能級別
4)提升域功能級別
5)提升後,用戶反應策略已經生效...