Windows Server 2012 R2多元密码PSO策略实战篇

前提条件：

系统检查，域及林的功能级别在windows2008以上，如是windows2003，是不支持PSO设定的，参考MS资料

http://technet.microsoft.com/zh-cn/library/cc754461(v=ws.10).aspx

严格的密码和帐户锁定策略的要求和特殊注意事项

· 域功能级别：

重要事项

为了让严格的密码和帐户锁定策略在给定域中正常运行，必须将该域的域功能级别设置为 Windows Server 2008。

对整个2003域做密码安全设置，参见：

http://technet.microsoft.com/zh-cn/library/cc875814.aspx

对windows2003域环境熟悉的朋友都知道，在这样的域环境内我们只能维持一套密码策略，而windows2012的域环境，为我们提供了一个新功能：多元密码策略或颗粒化密码策略（Fine-Grained Password Policies），它可以让我们在一个域环境内实现多套密码策略。不过在进行实战之前，我们还得先讲解一些理论。

以前：

2003以前的域环境，我们可以通过组策略在域级别上实施密码策略，一般我们都是通过编辑“Default Domain Policy ” 来实现，如下图所示：

在这里不做过多的演示。

注意关键点：域级别、组策略。

如果你对相应的OU创建并编辑GPO，设置相应的“密码策略”，则这个设置只能对该OU内的计算机的本地用户的密码策略生效。

现在：

在Windows2012的域环境里，我们不但可以像以前的03域环境一样，我们还可以针对用户或全局安全组设置相应的用户密码策略！这样就相当于我们可以针对不同的部门实施不同的密码策略了，当然，你最好把不同的部门用户加入到不同的全局组内。这应该不难，为相应的部门创建OU，异或再建全局组，再把部门用户帐号加入该全局组，这是我们推荐的方式。所以你要做的就是针对不同的特殊部门组创建密码策略就可以了。

这要是在以前，可能麻烦了，也许你就要为这个部门单独创建一个子域了，即便不创建子域，实现起来也是很复杂的。

注意关键点：

应用对象：用户、全局安全组（而非OU、域）    
部署要求：全部DC为2012、域模式为win2012。

部署工具：使用ADSIEDIT、LDIFDE、第三方工具（推荐）

我们可以针对一个用户或一个全局组设置多个密码策略，因此对于优先级的问题：

1. 用户级别密码策略>全局组级别密码策略>域级别密码策略

2. 同一级别，如用户，关联多个PSO（Password-Setting-Object）时，优先（Precedence）值最小的生效！

而最终判断原则，上述两点中，先判断第一点，再判断第二点。

下面我们用两种方法来实现多元密码策略的配置：

1. 利用ADSIEDIT工具。

2. 利用第三方工具（推荐）。

环境：dwcml.comm.cn域环境，dc.dwcml.comm.cn是DC，我们的操作就是DC上进行的。

一、使用ADSIEDIT配置多元密码策略：

三个步骤：  
（一）使用ADSIEDIT创建密码设置对象（PSO）    
（二）针对用户或组应用PSO    
（三） 验证用户的PSO应用

分步解析：

（一）使用ADSIEDIT创建密码设置对象（PSO）

开始--搜索-输入adsiedit.msc后，如下所示：

单击连接后，如下图：

保持默认，单击“确定”如下图所示，找到对应的pso，在其上右击，选择新建对象，如下：

下图中，我们为PSO取一个名字：

下图是设置优先值，在这里值越小，越优先！！

下图是设置“是否用可还原的加密来存储密码”，我们选择否。

下图是密码历史，我们选择3次。

下图是“选择是否启用密码复杂性”，我们选择否。

下图是“最小密码长度”，我们选择8，即最短8个字符长度。

下图是“密码最短使用期限”，我们选择一天。但格式必须是d:h:m:s（天：小时：分：秒）。

下图是“密码最长使用期限”，格式同上。

下图是“密码锁定阈值”，我们设置5次输错就锁住。

下图是“复位帐户记数器”的时间，我们设置20分钟后，计数器清0，格式D:H:M:S。

下图是“密码锁定时间”，我们也设置20分钟，即20分钟后解锁。

最后如下图所示：如果单击完成，出现错误，可以有针对性的修改，一般出错，往往是前面输入格式有问题，可以回退修改即可。

我们刚才所创建的PSO如下所示， 我们可以在其上右击，选择属性，对其上设置进行二次修改，或添加相关联的用户或全局安全组。

（二）针对用户或组应用PSO：

如上图所示，单击“属性”后，并添加相应的用户或全局安全组，如下：

选择如上图所示的属性后，单击“编辑”，如下图并添加相应的USER001用户或全局组名。最后单击确定完成全局组的添加， 在这里也可以添加用户。此处就略了。

（三）验证用户的PSO应用：

我们修改这个的用户user001的密码，如下图所示过程：

上图是因为我输入的密码长度太短造成的（不满足本策略的8位），当然细心的朋友可以看到了（本文第一图）我把域的密码策略的密码长度改成了0（不限长度），因此这个提示是因为我们刚才所创建的策略所致。

小结：你可以针对不同的用户或全局组创建你所需要的密码策略，使之真正的为企业服务，从而提高企业的安全性。

使用第三方工具Fine Grain Password Policy Tool Beta 2创建PSO

相对于使用Adsiedit.msc建立PSO的方法，Fine Grain Password Policy Tool Beta 2提供了更为直观方便快捷的图形用户操作界面，同时它能很直观查看对象策略结果。

Fine Grain Password Policy Tool Beta 2分为X64和X86两个版本，安装过程略

通过利用ADSIEDIT在域内实施多元密码策略的部署，我们发现比较麻烦，而且有时出错的可能性还很大，比如有关项目的设置格式等，让初学者感觉很复杂，其实微软增加这项功能无非是应用，我们会用就行了，今天我给各位带来的就是一个牛人开放的工具，推荐给各位，相信它会轻松的实施我们的多元密码策略。