返回
Windows 2008的AD域的多元密码策略

Windows 2008的AD域的多元密码策略

ID:37667103

大小:22.95 KB

页数:7页

时间:2019-05-28

Windows 2008的AD域的多元密码策略_第1页
Windows 2008的AD域的多元密码策略_第2页
Windows 2008的AD域的多元密码策略_第3页
Windows 2008的AD域的多元密码策略_第4页
Windows 2008的AD域的多元密码策略_第5页
资源描述:

《Windows 2008的AD域的多元密码策略》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Windows 2008的AD域的多元密码策略   众所周之,Windows2000或2003的AD域上,密码策略只能指派到域(Site)上,不能单独应用于活动目录中的对象。换句话说,密码策略在域级别起作用,而且一个域只能有一套密码策略。统一的密码策略虽然大大提高了安全性,但是提高了域用户使用的复杂度。举个例子来说,企业管理员的帐户安全性要求很高,需要超强策略,比如密码需要一定长度、需要每两周更改管理员密码而且不能使用上几次的密码;但是普通的域用户并不需要如此高的密码策略,也不希望经常更改密码并使用很长的密码,超强的密码策略并不适合他们。   为解决这个问题,在Wind

2、ows2008的AD域中引入了多元密码策略(Fine-GrainedPasswordPolicy)的概念。多元密码策略允许针对不同用户或全局安全组应用不同的密码策略,例如:   A.可以为管理员组指派超强密码策略,密码16位以上、两周过期;   B.为服务帐号指派中等密码策略,密码30天过期,不配置密码锁定策略;   C.为普通域用户指派密码90天过期等。多元密码策略的诞生,满足了不同用户对于安全性的不同要求。多元密码策略虽然满足了不同级别用户对于密码安全性的要求,但是配置多个密码策略为管理员增加了管理复杂度,管理起来也不是很方便,所谓鱼和熊掌不可兼得。而我写这篇文章的

3、初衷就是帮朋友尽快熟悉起这个功能,鱼和熊掌,我欲兼得!一、部署条件   多元密码策略部署要求有以下几点:   A.所有域控制器都必须是WindowsServer2008;   B.域功能级别为2008DomainFunctionalMode;   C.客户端无需任何变更;   D.如果一个用户和组有多个密码设置对象(PSO,可以把PSO理解为和组策略对象GPO类似,通俗的理解为就是一条条的密码策略),那么优先级最小的PSO将最终生效;   E.多元密码策略只能应用于活动目录中的用户和全局安全组,而不能应用于活动目录中的计算机对象、非域内用户和组织单元OU。二、部署实战 

4、  我将通过实战方式向大家介绍如何通过ADSIEDIT、LDIFDE以及第三方工具FGPP、Quese公司出品的针对AD的PowerShell来实现、管理多元密码策略。主要的操作步骤如下:   步骤1:创建PSO   步骤2:将PSO应用到用户和/或全局安全组   步骤3:管理PSO   步骤4:查看用户或全局安全组的结果PSO   步骤5:验证结果步骤1:使用ADSIEDIT工具,创建PSO   1.在DC上打开“活动目录用户和计算机”,创建一个名为”TestOU”的OU,然后在该OU里面建立一个名为张三的用户和一个名为PSOGroup的全局安全组,再把张三加入该组中

5、。   2.在DC上输入adsiedit.msc工具,选择“默认命名上下文”,展开CN=System至CN=PasswordSettingsContainer,右击选择“新建对象”;   3.在“新建对象”界面中,点击“下一步”;   4.在“值”中,输入“AdminPSO”(为这个密码策略取名),并单击“下一步”;    5.接下来修改msDS-PasswordSettingsPrecedence属性。在“值”中,输入“1”(设置密码策略的优先级),并单击“下一步”;   6.接下来修改msDS-PasswordReversibleEncryptionEnabled

6、属性。在“值”中,输入“False”(是否启用用户帐户的密码可还原的加密状态),并单击“下一步”;   7.接下来修改msDS-PasswordHistoryLength属性,也就是设置用户帐户的密码历史长度。在“值”中,输入“3”,并单击“下一步”;    8.接下来修改msDS-PasswordComplexityEnabled属性,也就是是启用户帐户的密码复杂性要求。在“值”中,输入“TRUE”,并单击“下一步”;   9.接下来修改msDS-MinimumPasswordLength属性,也就是设置用户帐户的最短密码长度。在“值”中,输入“16”,并单击“下一步

7、”;   10.接下来修改msDS-MinimumPasswordAge属性,也就是设置用户帐户密码的最短使用期限。默认必须是使用1天后才能再次更改密码。可以接受输入的格式为00:00:00:00。这4段分别表示为多少天、多少小时,多少分,多少秒。在“值”中,输入“00:00:00:00”,并单击“下一步”;   11.接下来修改msDS-MaximumPasswordAge属性,也就是设置用户帐户的最长密码期限。默认是42天。在“值”中,输入“15:00:00:00”,并单击“下一步”;    12.接下来修改msDS-LockoutT

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。