在Windows2000/2003域中只存在一套密碼策略,就是默認的域安全策略,它無法針對每個域用戶去設置不同的密碼策略,而在Windows2008域中提供了多元化密碼策略,這就使得我們可以同一域環境中實現多套密碼策略
在實現多元化密碼策略之前,需要我們將域功能級別提升到Windows 2008或者Windows 2008R2
這是默認的域安全策略,可以看到密碼策略沒有做任何限制,也就是說,我現再的域用戶,可以將密碼長度任意設置,可以是純字母,也可以是純數字
在本實驗中,我希望將IT部OU中的用戶密碼長度最小設置爲8位,將人力資源部OU中的用戶啓用複雜性密碼,銷售部OU中的用戶密碼維持現狀
可是多元化密碼策略不能應用於OU,只能應用於全局安全組或者用戶,那我們需要在每個OU中建立相應的部門全局安全組,再將各自的用戶隸屬於這個組中即可
1.創建全局安全組
在OU【IT部】中新建一個全局安全組【IT部】
打開【IT部】組的屬性,添加成員【蔣慶秋】
按同樣的方法,在OU【人力資源部】中新建全局安全組【人力資源部】,並添加成員【趙軍】
在OU【銷售部】中新建全局安全組【銷售部】,並添加成員【王曉婷】
2.創建密碼設置對象(PSO)
多元化密碼策略可以通過兩種方式來實現,一種是ADSI編輯器,另一種是比較直觀的工具Fine Grain PassWord PolicIEs Tool
這裏我們首先通過ADSI編輯器來創建應用於【IT部】的密碼策略,在域控制器上打開ADSI編輯器,右鍵選擇【連接到】
選擇【默認命名上下文】
按圖展開到【CN=Password Settings Container】,右鍵新建【對象】,新建一個密碼設置對象(PSO)
設置PSO名稱
設置優先級,越小優先級越高
設置【用可還原的加密來存儲密碼】,這裏設置爲【False】
設置【強制密碼歷史】爲【0】
設置【是否啓用密碼複雜性】,這裏設置爲【False】
設置【密碼長度最小值】爲【8】
設置【密碼最短使用期限】爲【0】天
注意:格式按照 天:時:分:秒(dd:hh:mm:ss) 來寫
設置【密碼最長使用期限】爲【42】天
注意:不能設置爲0天,否則最後會報錯
設置【賬戶鎖定閾值】爲【3】,表示3次輸錯後鎖定賬戶
設置【重置賬戶鎖定計數器】爲【30】分鐘,每一次密碼輸入錯誤計數器都會加1,根據上一步的設置,當計數器值爲3時賬戶鎖定,在賬戶未被鎖定之前,密碼輸入錯誤後30分鐘內沒有再次輸錯,計數器將會復位到0
設置【賬戶鎖定時間】爲【30】分鐘,即鎖定的賬戶將在30分鐘後解鎖
點擊【完成】後就創建了一個PSO
3.將密碼設置對象(PSO)應用於全局安全組
在剛剛創建的PSO上右鍵打開【屬性】
如圖編輯屬性【msDS-PSOAppliesTo】
爲其添加【IT】部這個全局安全組,確定後,這個PSO就應用於【IT】部全局安全組了
可以來測試一下,【蔣慶秋】這個賬戶隸屬於【IT部】組,我們將其重置密碼
還記得我們之前設置的密碼策略嗎?我要求IT部用戶的最小密碼長度是8位,這裏我設置4位的密碼試試
確定後報錯了,說我們設置的密碼不滿足策略要求
那我設置成8位的密碼
這裏告訴密碼已被更改,說明PSO應用成功
下面我們來用另一種比較直觀快捷的方法來爲【人力資源部】組創建並應用PSO
4.利用FGPP工具創建應用密碼設置對象(PSO)
下載地址
http://down.51cto.com/data/558895 32位
http://down.51cto.com/data/558894 64位
安裝FGPP工具
打開MMC,添加Fine Grain PassWord PolicIEs Tool
在【Fine Grain Password Policies Tool】上右鍵選擇【New Policy】,新建PSO
這裏把所有步驟都放在了一個界面中了,比ADSI編輯器中建立PSO要方便多了吧,根據前面的要求,需要爲【人力資源部】組啓用複雜性密碼
PSO創建完成後還是要應用到組,在新創建的PSO【HR-PSO-Policy】上右鍵打開屬性
切換到【Policy Applies To】卡片,點擊【Add】,添加【人力資源部】全局安全組
最後再來測試,將用戶【趙軍】密碼重置,經測試,純字母,純數字,長度低於8位都無法修改成功
將密碼修改爲字母+數字+字符,並且長度大於等於8位時則修改成功
