返回
Windows2008多元密码策略实战篇.doc

Windows2008多元密码策略实战篇.doc

ID:58697178

大小:1.13 MB

页数:24页

时间:2020-10-05

Windows2008多元密码策略实战篇.doc_第1页
Windows2008多元密码策略实战篇.doc_第2页
Windows2008多元密码策略实战篇.doc_第3页
Windows2008多元密码策略实战篇.doc_第4页
Windows2008多元密码策略实战篇.doc_第5页
资源描述:

《Windows2008多元密码策略实战篇.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Windows2008多元密码策略实战篇对windows2003域环境熟悉的朋友都知道,在这样的域环境内我们只能维持一套密码策略,而windows2008的域环境,为我们提供了一个新功能:多元密码策略或颗粒化密码策略(Fine-GrainedPasswordPolicies),它可以让我们在一个域环境内实现多套密码策略。不过在进行实战之前,我们还得先讲解一些理论。    以前:   2003以前的域环境,我们可以通过组策略在域级别上实施密码策略,一般我们都是通过编辑“DefaultDomainPolicy”来实现,如下图所示: 在这里不做过多的演示。注意关键

2、点:域级别、组策略。如果你对相应的OU创建并编辑GPO,设置相应的“密码策略”,则这个设置只能对该OU内的计算机的本地用户的密码策略生效。   现在:   在Windows2008的域环境里,我们不但可以像以前的03域环境一样,我们还可以针对用户或全局安全组设置相应的用户密码策略!这样就相当于我们可以针对不同的部门实施不同的密码策略了,当然,你最好把不同的部门用户加入到不同的全局组内。这应该不难,为相应的部门创建OU,异或再建全局组,再把部门用户帐号加入该全局组,这是我们推荐的方式。所以你要做的就是针对不同的特殊部门组创建密码策略就可以了。   这要是在以前

3、,可能麻烦了,也许你就要为这个部门单独创建一个子域了,即便不创建子域,实现起来也是很复杂的。注意关键点:应用对象:用户、全局安全组(而非OU、域)部署要求:全部DC为2008、域模式为win2008。部署工具:使用ADSIEDIT、LDIFDE、第三方工具(推荐)我们可以针对一个用户或一个全局组设置多个密码策略,因此对于优先级的问题:1.用户级别密码策略>全局组级别密码策略>域级别密码策略2.同一级别,如用户,关联多个PSO(Password-Setting-Object)时,优先(Precedence)值最小的生效!而最终判断原则,上述两点中,先判断第一点

4、,再判断第二点。 下面我们用两种方法来实现多元密码策略的配置:1.利用ADSIEDIT工具。2.利用第三方工具(推荐)。 环境:contoso.com域环境,w08a.contoso.com是DC,我们的操作就是DC上进行的。 一、使用ADSIEDIT配置多元密码策略:三个步骤:(一)使用ADSIEDIT创建密码设置对象(PSO)(二)针对用户或组应用PSO(三) 验证用户的PSO应用分步解析:(一)使用ADSIEDIT创建密码设置对象(PSO) 开始--搜索-输入adsiedit.msc后,如下所示: 单击连接后,如下图: 保持默认,单击“确定”如下图所示

5、,找到对应的PSC,在其上右击,选择新建对象,如下:  下图中,我们为PSO取一个名字: 下图是设置优先值,在这里值越小,越优先!! 下图是设置“是否用可还原的加密来存储密码”,我们选择否。 下图是密码历史,我们选择3次。 下图是“选择是否启用密码复杂性”,我们选择否。 下图是“最小密码长度”,我们选择8,即最短8个字符长度。 下图是“密码最短使用期限”,我们选择一天。但格式必须是d:h:m:s(天:小时:分:秒)。 下图是“密码最长使用期限”,格式同上。 下图是“密码锁定阈值”,我们设置5次输错就锁住。 下图是“复位帐户记数器”的时间,我们设置20分钟后,

6、计数器清0,格式D:H:M:S。 下图是“密码锁定时间”,我们也设置20分钟,即20分钟后解锁。 最后如下图所示:如果单击完成,出现错误,可以有针对性的修改,一般出错,往往是前面输入格式有问题,可以回退修改即可。 我们刚才所创建的PSO如下所示,我们可以在其上右击,选择属性,对其上设置进行二次修改,或添加相关联的用户或全局安全组。 (二)针对用户或组应用PSO: 如上图所示,单击“属性”后,并添加相应的用户或全局安全组,如下: 选择如上图所示的属性后,单击“编辑”,如下图并添加相应的HR全局组。最后单击确定完成全局组的添加,在这里也可以添加用户。此处就略了。

7、 (三)验证用户的PSO应用: 我们修改这个HR组的用户jack的密码,如下图所示过程:   上图是因为我输入的密码长度太短造成的(不满足本策略的8位),当然细心的朋友可以看到了(本文第一图)我把域的密码策略的密码长度改成了0(不限长度),因此这个提示是因为我们刚才所创建的策略所致。 小结:你可以针对不同的用户或全局组创建你所需要的密码策略,使之真正的为企业服务,从而提高企业的安全性。使用第三方工具FineGrainPasswordPolicyToolBeta2创建PSO相对于使用Adsiedit.msc建立PSO的方法,FineGrainPasswordP

8、olicyToolBeta2提供了更为直观方便快捷的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。