Windows域密码安全策略

Windows域密码安全策略

ID:46613196

大小:69.50 KB

页数:4页

时间:2019-11-26

Windows域密码安全策略_第1页
Windows域密码安全策略_第2页
Windows域密码安全策略_第3页
Windows域密码安全策略_第4页
资源描述:

《Windows域密码安全策略》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、如果您是Windows域的管理员,一定会非常淸楚域用八帐八的密码策略的相关限制。但随着WindowsServer2008的到来,其屮一些限制将不复心在。让我们来看看这个新操作系统将如何解决这样一个问题:不能实现多个密码策略。如果您运行的是Windows?域当前的任意版本(WindowsNT?、Windows2000ActiveDirectory?或WindowsServer?2003ActiveDirectory),就会受到每个域只能有一个密码策略的限制。事实上,对您产生限制的不仅是密码策略,而K还有

2、帐八策略涵盖的范围更广的设置。Figure1Accountpolicies密码策略强制密码历史密码瑕长使用期限密码最短使用期限最短密码长度密码必须满足复杂性耍求使用可逆加密存储密码帐户锁定策略帐户锁定时间帐户锁定域值重置帐户锁定计数器之前经过的时间…Kerberos策略强制用户登录限制服务票证最长寿命川户票证最长寿命用户票证续订址长寿命计算机时钟同步的最人容差默认情况下,这些策略设置适用于与域相关联的所有域帐八和用八帐八。这是因为纽策略是沿着ActiveDirectory结构向下继承的。为了更好地认识

3、这些策略如何影响域帐户和木地用户帐户,了解以下两点非常重要:这些策略的设置位置,以及组策略的继承方式如何影响所有不同的用户帐户。(请注意,Kerberos策略设置仅适用于域用户帐户,这是因为只有域用户帐户使用Kerberos进行身份验证。本地用户帐户使用NTLMv2>NTLM或LM进行身份验证。)设置帐户策略在ActiveDirectory内部,组策略建立并控制整个域的帐户策略。这是在首次安装ActiveDirectory域时发生的,并>1是通过获得链接到ActiveDirectory中域节点的默认组

4、策略对象(GPO)完成的。此GPO名为默认域策略,具有帐八策略的所有三部分的默认配置。图2显示了WindowsServer2003域中密码策略项初始设置的完整列表。此GPO中的设置控制所有域用户帐户以及每台域计算机的帐户策略。请记住,所有域计算机(台式机和服务器)都具有本地安全帐户管理器(SAM),这很重要。此默认GPO中的设置控制的就是这一SAM。当然,木地SAM也包含每台计算机的木地川户帐户。通过GPO沿着ActiveDirectory结构向下进行的正常继承,默认域策略中的设置可影响所有域计算机。

5、由丁-此GPO链接到域节点,所以它将影响此域中的所有计算机帐户。无法对当前密码策略执行的操作关于ActiveDirectory(在WindowsServer2003中)的当前实现,目前仍存在对密码控制的许多误解,尽管经过了多年的严格测试,也未找到证据证明那些误解是对的。很明显(或应该说),策略是无法通过设计以外的其他方式起作用的。也就是说,很多管理员都相信,可以为同一域屮的多个用户设置多个密码策略。他们认为您可以创建一个GPO,并将其链接到某个组织单位(0U)。该思想是将川户帐户移到0U以使GPO影响

6、这些对象。在GPO内部,对帐八策略进行修改以创建更安全的密码策略(可能是通过将最大密码长度设置为14实现此目的)。但是,山于一些原因,此配置永远达不到期望的结果。首先,密码策略设置是基于计算机而非皐于川户的策略。有了这种设置的前提条件之后,设置将永远无法影响用户帐八。其次,修改域用户帐户的帐户策略设置只有一种方法,即在链接到该域的GPO内部进行修改。链接到0U且被配置为更改帐户策略设置的那些GPO,会修改驻留在0U中(或在链接的0U的子0U中)计算机的本地SAMo另一个谋解是,在根域(ActiveDi

7、rectory林的初始域)中建立的帐户策略设置将向卜'流动或继承到林中的子域。这同样并非事实,通过这种方式是无法使设置起作用的。链接到域和某个域屮0U的GPO不会影响其他域屮的对象,即使GPO链接到的域是根域也是一样。使GPO设置影响其他域中对彖的唯一方法是将GPO链接到ActiveDirectory站点。密码策略的改变町以看到,Windows的当前版本处理用户帐户密码的方式简单直观。这包括一组适用于所有域帐八的密码规则,以及通过链接到ActiveDirectory中域节点的组策略对象來管理帐八策略的

8、方式。随着WindowsServer2008的到来,这一「切就都被判出局了。WindowsServer2008以及一同推出的ActiveDirectory基础结构采用了另一•种方法。将帐户策略置于GPO中只允许对所有域用户帐户设置一种策略,而现在已将这些设置移到了ActiveDirectory的更深部分。此外,帐户策略也不再慕于计算机帐户。现在,您可以止个人用户和用八组来控制其密码限制。对于Windows管理员来说,这是一个全新的概念,毕竞我们长期以来一

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。