一、多元(顆粒化)密碼策略介紹:
在windows server 2000/2003中,我們無法針對域用戶不同而設置不同密碼策略,
域用戶密碼策略和賬戶設置都 由默認域策略控制,如果要重新建立策略我們必須
創建密碼篩選器,如果想部署多元(顆粒化)密碼策略,我們只能使用windows
server 2008/windows server 2008R2 AD, 提供了多元密碼策略可以在單個域中指定多個
密碼策略。這使得域管理員組成員可以爲域中不同的用戶組創建不同的密碼策略和帳戶
鎖定設置。舉例來說,域管理員能夠爲一個高權限用戶組(有着更多的訪問特權的用戶
組)創建一條更嚴格的密碼策略,而爲普通用戶組應用不太嚴格的密碼策略。
二、注意事項:
只能被應用到用戶對象或者全局安全組
無法將多元密碼策略直接應用於一個OU之上
要對OU中的用戶建立多元密碼策略,應將密碼策略應用於一個全局安全組,(邏
輯上映射到 OU的一個用戶組,即shadow group影子組)。
用戶從一個OU移動到另外的OU(爲了用戶受新移動到的OU上的密碼策略控制或是不再
受原來OU的密碼策略影響),你必須更新相應影子組的成員身份
三、部署條件
-
所有域控制器都必須是Windows Server 2008; -
域功能級別爲2008 Domain Functional Mode; -
客戶端無需任何變更; -
如果一個用戶和組有多個密碼設置對象(PSO,可以把PSO理解爲和組策略對 象GPO類似,通俗的理解爲就是一條條的密碼策略),那麼優先級最小的PSO將最終生效; -
多元密碼策略只能應用於活動目錄中的用戶和全局安全組,而不能應用於活動目錄中的計算機對象、非域內用戶和組織單元OU
四、部署方式:
Fine Grain Password Policy Tool
Adsiedit.MSC工具創建密碼配置對象
五、實戰部署:
1.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
本文出自 “小懶豬” 博客