在Windows Server 2008中配置精准密码策略和帐户锁定策略
来源:互联网 发布:sql on hadoop架构 编辑:程序博客网 时间:2024/04/26 12:31
在windows 2000和windows 2003的活动目录域中,我们只能够在Default Domain Policy中为所有用户配置应用一个密码策略和帐户锁定策略,如果我们需要为一些特殊的用户制定不同的密码和帐户锁定策略,我们只能够通过创建新域的方法,因为以前一个域只能够使用一个密码和帐户锁定策略。
Windows Server 2008 ADDS中新增了一项功能,称为精准密码策略,可以用它在域中定义多个密码策略,并且将它应用到用户或者全局安全组中,注意,不是应用在OU中,要想使用此功能,我们需要借助ADSIEdit编辑器为域创建Password Settings objects (PSOs),下面来介绍具体的操作:
首先在08DC中打开ADSIEdit编辑器,定位到如下图位置:
在“CN=Password Settings Container”节点右键选择新建,在弹出窗口中选择“msDS-PasswordSettings”类别,如下图所示:
在紧接的窗口中为新建的Password Settings objects输入一个名称,如下图所示:
在弹出窗口中为msDS-PasswordSettingsPrecedence属性设置一个值,该属性为优先级设置,如果域中有多个密码策略直接与用户链接,将应用优先权值最小的策略,如下图所示:
在弹出窗口为msDS-PasswordReversibleEncryptionEnabled属性设置一个布尔值,可以设置FALSE / TRUE,该属性在组策略中对应“用可还原的加密来储存密码”设置,在此设置FALSE后单击“下一步”,如下图所示:
在弹出窗口为msDS-PasswordHistoryLength属性设置一个值,该属性在组策略中对应“强制密码历史”设置,可用值的范围为0-1024,在此设置后单击“下一步”,如下图所示:
在弹出窗口中为msDS-PasswordComplexityEnabled属性设置一个布尔值,可以设置FALSE / TRUE,该属性在组策略中对应“密码必须符合复杂性要求”设置,在此设置为启用,单击“下一步”,如下图所示:
在弹出窗口中为msDS-MinimumPasswordLength属性设置一个值,可用值范围为0-255,该属性在组策略中对应“密码长度最小值”设置,在输入框中设定后单击“下一步”,如下图所示:
在弹出窗口中为msDS-MinimumPasswordAge属性设置一个值,该属性在组策略中对应“密码最短使用期限”设置,时间格式为“00:00:00:00”,在此设置为1天,1:00:00:00,设置后单击“下一步”,如下图所示:
在弹出窗口中为msDS-MaximumPasswordAge属性设置一个值,该属性在组策略中对应“密码最长使用期限”,时间格式同上,设置后单击“下一步”,如下图所示:
在弹出窗口中为msDS-LockoutThreshold属性设置一个值,该属性在组策略中对应“帐户锁定阈值”,可用值范围为0-65535,设置后单击“下一步”,如下图所示:
在弹出窗口中为msDS-LockoutObservationWindow属性设置一个时间值,格式与前面设置的时间格式一致,该属性在组策略中对应“复位帐户锁定计数器”设置,在此设置为30分钟,设置后单击“下一步”,如下图所示:
在弹出窗口中为msDS-LockoutDuration属性设置一个时间值,格式同上,该属性在组策略中对应“帐户锁定时间”设置,设置后单击“下一步”,如下图所示:
在完成窗口中单击“完成”,如下图所示:
至此,一个自定义的密码和帐户锁定策略已经创建完成, 那么如何应用在一些帐户上面呢?我们还需要进行下面几步简单操作...
在上面操作后返回的ADSIEdit中双击刚才创建好的Password Settings objects 对象,在弹出的属性编辑窗口中找到
msDS-PSOAppliesTo属性,单击“编辑”,如下图所示:
在弹出的窗口中选择应用此Password Settings objects的目标对象,在此选择已经事先创建好的test全局安全组,选择完成后单击“确定”,如下图所示:
到这一步,策略已经应用到上面所选择的组中了,只要是属于test组中的成员就会应用上面所创建的密码和帐户锁定策略,下面来测试一下结果,打开ADUC,先来测试一个没有属于test组的用户,右击user1帐户,选择重置密码,输入123后单击确定,如下图所示:
从上面截图可以看到user1帐户的密码已经被重置成功,因为之前已经将Default Domain Policy设置成禁用密码复杂性和最小密码长度为0,所以可以使用这种简单的密码,现在将user1帐户加入到test组中,如下图所示:
下面再来使用简单的密码来重置一下,截图如下:
可以看到user1加入test组之后立即应用上前面所创建的策略,现在已经不能够使用之前的简单密码策略。
本文出自 “叶俊坚” 博客,请务必保留此出处http://yejunjian.blog.51cto.com/718462/144724
- 在Windows Server 2008中配置精准密码策略和帐户锁定策略
- Win2003 Server帐户和本地策略配置
- Windows Server 2008在密码策略里禁用复杂密码
- Windows 2008设置域用户帐户密码策略
- Windows Server 2008 中如何修改域密码策略
- Windows Server 2008 中如何修改域密码策略
- 在Windows 2000中禁止域的组策略应用于管理员帐户和所选用户
- 在Windows 2000中禁止域的组策略应用于管理员帐户和所选用户
- Windows Server 2008 Enterprise修改密码策略
- Windows server 2008 密码策略更改
- 解决: Windows Server 2008中在新安装的AD里建立新用户时总会提示说“密码不满足密码策略的要求,检查最小密码长度、密码复杂性和密码历史的要求”。
- 用账户锁定策略防止黑客暴力破解管理员帐户登录密码
- 解决: Windows Server 2003中在新安装的AD里建立新用户时总会提示说“密码不满足密码策略的要求,检查最小密码长度、密码复杂性和密码历史的要求”。
- Windows 2008 修改密码策略
- 在Windows Server 2003 中创建“系统策略”设置
- 设置域用户帐户密码策略
- Windows 2008在域中不能更改密码策略
- 在设置iis windows身份验证,出错:登录失败:用户帐户限制。可能的原因包括不允许空密码登录时间限制或强制的策略限制。
- 使用ISA Server发布具有Edge角色的Exchange Server环境
- 使用Exchange 2007搭建多域名邮件系统
- 在Exchange Server 2007中使用多主机名称证书
- 在具有边缘传输服务器的环境中更换服务器证书
- 只读域控制器在Server Core中的部署
- 在Windows Server 2008中配置精准密码策略和帐户锁定策略
- Exchange 2003 在多域环境中的部署
- 在Windows Server 2008中安装Exchange Server 2007 SP1
- 在03活动目录域中添加Windows Server 2008域控制器
- 在Exchange Server 2007中限制部分用户只能收发内部邮件
- 在Exchange Server 2007中为出站邮件添加免责声明
- 在Exchange Server 2007中进行会议室调度
- 使用System Center Essentials 2007进行软件部署
- 使用System Center Essentials 2007监视域控制器