在Windows Server 2008中配置精准密码策略和帐户锁定策略

在windows 2000和windows 2003的活动目录域中，我们只能够在Default Domain Policy中为所有用户配置应用一个密码策略和帐户锁定策略，如果我们需要为一些特殊的用户制定不同的密码和帐户锁定策略，我们只能够通过创建新域的方法，因为以前一个域只能够使用一个密码和帐户锁定策略。

      Windows Server 2008 ADDS中新增了一项功能，称为精准密码策略，可以用它在域中定义多个密码策略，并且将它应用到用户或者全局安全组中，注意，不是应用在OU中，要想使用此功能，我们需要借助ADSIEdit编辑器为域创建Password Settings objects (PSOs)，下面来介绍具体的操作：

       首先在08DC中打开ADSIEdit编辑器，定位到如下图位置：

      

 

 

       在“CN=Password Settings Container”节点右键选择新建，在弹出窗口中选择“msDS-PasswordSettings”类别，如下图所示：

        

 

      在紧接的窗口中为新建的Password Settings objects输入一个名称，如下图所示：

     

 

      在弹出窗口中为msDS-PasswordSettingsPrecedence属性设置一个值，该属性为优先级设置，如果域中有多个密码策略直接与用户链接，将应用优先权值最小的策略，如下图所示：

     

 

      在弹出窗口为msDS-PasswordReversibleEncryptionEnabled属性设置一个布尔值，可以设置FALSE / TRUE，该属性在组策略中对应“用可还原的加密来储存密码”设置，在此设置FALSE后单击“下一步”，如下图所示：

     

 

      在弹出窗口为msDS-PasswordHistoryLength属性设置一个值，该属性在组策略中对应“强制密码历史”设置，可用值的范围为0-1024，在此设置后单击“下一步”，如下图所示：

     

 

      在弹出窗口中为msDS-PasswordComplexityEnabled属性设置一个布尔值，可以设置FALSE / TRUE，该属性在组策略中对应“密码必须符合复杂性要求”设置，在此设置为启用，单击“下一步”，如下图所示：

       

 

      在弹出窗口中为msDS-MinimumPasswordLength属性设置一个值，可用值范围为0-255，该属性在组策略中对应“密码长度最小值”设置，在输入框中设定后单击“下一步”，如下图所示：

     

 

      在弹出窗口中为msDS-MinimumPasswordAge属性设置一个值，该属性在组策略中对应“密码最短使用期限”设置，时间格式为“00:00:00:00”，在此设置为1天，1:00:00:00，设置后单击“下一步”，如下图所示：

     

 

      在弹出窗口中为msDS-MaximumPasswordAge属性设置一个值，该属性在组策略中对应“密码最长使用期限”，时间格式同上，设置后单击“下一步”，如下图所示：

     

 

      在弹出窗口中为msDS-LockoutThreshold属性设置一个值，该属性在组策略中对应“帐户锁定阈值”，可用值范围为0-65535，设置后单击“下一步”，如下图所示：

     

 

       在弹出窗口中为msDS-LockoutObservationWindow属性设置一个时间值，格式与前面设置的时间格式一致，该属性在组策略中对应“复位帐户锁定计数器”设置，在此设置为30分钟，设置后单击“下一步”，如下图所示：

     

 

      在弹出窗口中为msDS-LockoutDuration属性设置一个时间值，格式同上，该属性在组策略中对应“帐户锁定时间”设置，设置后单击“下一步”，如下图所示：

     

 

      在完成窗口中单击“完成”，如下图所示：

     

 

      至此，一个自定义的密码和帐户锁定策略已经创建完成， 那么如何应用在一些帐户上面呢？我们还需要进行下面几步简单操作...

      在上面操作后返回的ADSIEdit中双击刚才创建好的Password Settings objects 对象，在弹出的属性编辑窗口中找到

msDS-PSOAppliesTo属性，单击“编辑”，如下图所示：

     

 

      在弹出的窗口中选择应用此Password Settings objects的目标对象，在此选择已经事先创建好的test全局安全组，选择完成后单击“确定”，如下图所示：

       

 

     到这一步，策略已经应用到上面所选择的组中了，只要是属于test组中的成员就会应用上面所创建的密码和帐户锁定策略，下面来测试一下结果，打开ADUC，先来测试一个没有属于test组的用户，右击user1帐户，选择重置密码，输入123后单击确定，如下图所示：

     

 

       

 

　　从上面截图可以看到user1帐户的密码已经被重置成功，因为之前已经将Default Domain Policy设置成禁用密码复杂性和最小密码长度为0，所以可以使用这种简单的密码，现在将user1帐户加入到test组中，如下图所示：

    

 

　　下面再来使用简单的密码来重置一下，截图如下：

　　

　　可以看到user1加入test组之后立即应用上前面所创建的策略，现在已经不能够使用之前的简单密码策略。

本文出自 “叶俊坚” 博客，请务必保留此出处http://yejunjian.blog.51cto.com/718462/144724