在以前的Windows Server中,域中的密碼策略只有兩種,一種是默認域控制器策略,另一種是默認域策略。但是在實際的生產環境中,這樣的策略是不能符合要求的。比如說,我們需要爲服務器管理員(Domain Admin)設定更爲嚴格的密碼策略,我們也需要放寬普通用戶的密碼設定。我們怎麼做到這些呢?這就要用到Windows Server 2008中的一項新技術——Fine Grain Password Policy。
Fine Grain Password Policy是體現在域中的PSC(Password Settings Container)。這個容器可以存放一些PSO密碼策略。
這些密碼策略能夠被應用到用戶或全局安全組,但不能被應用到計算機或OU上。
-
Fine Grain Password Policy的要求服務器使用Windows2008,並且爲Windows 2008 域模式。
-
創建PSO的步驟(使用AdsiEdit):
1、運行adsiedit.msc(AD服務界面編輯器,它提供了ADDS林中全部對象和屬性的視圖)
2、雙擊域,展開DC=<domain_name>,CN=System,CN=Password Settings Container
3、新建,對象,msDS-PasswordSettings
4、鍵入所有mustHave的值,包括:
msDS-PasswordSettingsPrecedence(密碼設置優先級)
msDS-PasswordReversibleEncyptionEnabled(用戶賬戶的密碼可還原的加密狀態)
msDS-PasswordHistoryLength(用戶賬戶的密碼歷史長度)
msDS-PasswordComplexityEnable(用戶賬戶的密碼複雜性狀態)
msDS-MinimumPasswordLength(用戶賬戶的最短密碼長度)
msDS-MinimumPasswordAge(用戶賬戶的最短密碼期限)
msDS-MaximumPasswordAge(用戶賬戶的最長密碼期限)
msDS-LockoutThreshold(用戶賬戶鎖定的鎖定閥值)
msDS-LockoutObservationWindow(用戶賬戶鎖定的觀察窗口)
msDS-LockoutDuration(鎖定用戶賬戶的鎖定持續時間)
-
應用PSO的步驟(使用AdsiEdit):
1、打開這個pso,在屬性編輯器裏找到msDS-PsoAppliesTo,選擇要應用的用戶或全局安全組即可。
-
注意:
1、優先級數字越小越優先。優先級可以相同。在相同優先級的情況下,系統根據GUID做判別。
-
使用第三方工具Fine Grain Password Policy Tool Beta 2創建PSO
相對於使用Adsiedit.msc建立PSO的方法,Fine Grain Password Policy Tool Beta 2提供了更爲直觀方便快捷的圖形用戶操作界面,同時它能很直觀查看對象策略結果。
1、安裝
Fine Grain Password Policy Tool Beta 2分爲X64和X86兩個版本,安裝過程略
2、設置
運行MMC,添加Fine Grain Password Policy Tool管理單元
