譯者語:在上篇活動目錄域服務審覈,我們看到了Windows Server 2008 AD DS上有了更多更細的審覈項,進一步增強了安全性。本篇我們繼續看看Windows Server 2008 AD DS中又一個很有實用價值的新特性,多元密碼策略(也被譯作:有細粒度的密碼策略)
====================================================
在Windows Server 2000和Windows Server 2003中,針對域用戶的密碼策略和帳戶鎖定設置都由默認域策略控制着。若要爲特定的用戶組創建不同的密碼策略或者帳戶鎖定設置就必須創建另外的域或者創建密碼篩選器。在Windows Server 2008 AD DS中,提供了多元密碼策略可以在單個域中指定多個密碼策略。這使得域管理員組成員可以爲域中不同的用戶組創建不同的密碼策略和帳戶鎖定設置。舉例來說,域管理員能夠爲一個高權限用戶組(有着更多的訪問特權的用戶組)創建一條更嚴格的密碼策略,而爲普通用戶組應用不太嚴格的密碼策略。
Windows Server 2008中多元密碼策略只能被應用到用戶對象或者全局安全組。你無法將多元密碼策略直接應用於一個OU之上。若要對OU中的用戶建立多元密碼策略,應將密碼策略應用於一個全局安全組(邏輯上映射到 OU的一個用戶組,即shadow group影子組)。如果將用戶從一個OU移動到另外的OU(爲了用戶受新移動到的OU上的密碼策略控制或是不再受原來OU的密碼策略影響),你必須更新相應影子組的成員身份。
多元密碼策略的存儲
爲了儲存多元密碼策略,有兩個新的對象類在AD DS架構中被創建出來:密碼設置容器(PSC)和密碼設置。在PSC中存儲有密碼設置對象(PSOs)。默認情況PSC建立在域中的系統容器下,並且它無法被移動,重命名或是刪除。PSO 具有可以在默認域策略中定義的所有設置(Kerberos 設置除外)的屬性。這些設置包括以下密碼設置的屬性:
■ 強制密碼歷史
■ 最長密碼期限
■ 最短密碼期限
■ 最短密碼長度
■ 密碼必須符合複雜性要求
■ 用可還原的加密來存儲密碼
這些設置還包括一下帳戶鎖定設置的屬性:
■ 帳戶鎖定時間
■ 帳戶鎖定閾值
■ 重設帳戶鎖定計數器的時間間隔
此外,PSO還具有以下兩個新的屬性:
■ PSO鏈接 這是鏈接到用戶和(或者)組對象的多值屬性。
■ 優先 這是一個整數值,在將多個PSO應用到用戶或組對象時,該值可用來解決衝突。
備註:在向現有 Active Directory 域中添加運行 Windows Server 2008 的域控制器之前,必須運行 Adprep來擴展域架構以包含多元密碼策略所需的對象類。更多的關於Adprep命令行工具的信息請見第六章“建立活動目錄域服務”,此外請參考“Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration”,http://technet2.microsoft.com/windowsserver2008/en/library/2199dcf7-68fd-4315-87cc-ade35f8978ea1033.mspx.
多元密碼策略的策略結果集(Resultant Set of Policy for Fine-Grained Password Policy)
多元密碼策略設置可以被應用到用戶和全局安全組上,但只能爲用戶對象計算策略結果集(RSOP)。如果多個PSO被鏈接到用戶或組,則按以下方式確定應用的結果 PSO:
1. 直接鏈接到用戶對象的PSO就是最終結果PSO。如果超過一個PSO被直接鏈接到用戶對象上,則在日誌中會記錄警告信息,並且具有最低優先值的PSO爲結果PSO。
2. 如果沒有 PSO 直接鏈接到用戶對象或用戶的全局安全組成員身份,則比較根據這些全局組成員身份適用於用戶的所有 PSO。優先值最低的 PSO 爲結果 PSO。(如果有多個PSO最低優先值一樣,那麼PSO的GUID將決定誰最終被應用。)
3. 如果沒有從條件 (1) 和 (2) 中獲得 PSO,則應用默認域策略。
有三處直接應用在用戶對象上的設置總是會覆蓋通過多元密碼策略獲得的設置。你可以在用戶對象的用戶帳號控制(userAccountControl)屬性中設置這些位:
■ 需要可逆密碼加密
■ 不需要密碼
■ 密碼永不過期
這些位繼續覆蓋應用於用戶對象的結果 PSO 中的設置(和這些位覆蓋 Windows 2000 和 Windows Server 2003 中默認域策略中的設置一樣)。
====================================================
本文譯自《Windows Server 2008 Active Directory Resource Kit》
部分翻譯內容參考微軟technet知識庫:http://technet.microsoft.com/en-us/library/cc770946(WS.10).aspx