注:2012有直接编辑的工具;
在Windows2000/2003域中只存在一套密码策略,就是默认的域安全策略,它无法针对每个域用户去设置不同的密码策略,而在Windows2008域中提供了多元化密码策略,这就使得我们可以同一域环境中实现多套密码策略
在实现多元化密码策略之前,需要我们将域功能级别提升到Windows 2008或者Windows 2008R2
这是默认的域安全策略,可以看到密码策略没有做任何限制,也就是说,我现再的域用户,可以将密码长度任意设置,可以是纯字母,也可以是纯数字
在本实验中,我希望将IT部OU中的用户密码长度最小设置为8位,将人力资源部OU中的用户启用复杂性密码,销售部OU中的用户密码维持现状
可是多元化密码策略不能应用于OU,只能应用于全局安全组或者用户,那我们需要在每个OU中建立相应的部门全局安全组,再将各自的用户隶属于这个组中即可
1.创建全局安全组
在OU【IT部】中新建一个全局安全组【IT部】
打开【IT部】组的属性,添加成员【蒋庆秋】
按同样的方法,在OU【人力资源部】中新建全局安全组【人力资源部】,并添加成员【赵军】
在OU【销售部】中新建全局安全组【销售部】,并添加成员【王晓婷】
2.创建密码设置对象(PSO)
多元化密码策略可以通过两种方式来实现,一种是ADSI编辑器,另一种是比较直观的工具Fine Grain Password Policies Tool
这里我们首先通过ADSI编辑器来创建应用于【IT部】的密码策略,在域控制器上打开ADSI编辑器,右键选择【连接到】
选择【默认命名上下文】
按图展开到【CN=Password Settings Container】,右键新建【对象】,新建一个密码设置对象(PSO)
设置PSO名称
设置优先级,越小优先级越高
设置【用可还原的加密来存储密码】,这里设置为【False】
设置【强制密码历史】为【0】
设置【是否启用密码复杂性】,这里设置为【False】
设置【密码长度最小值】为【8】
设置【密码最短使用期限】为【0】天
注意:格式按照 天:时:分:秒(dd:hh:mm:ss) 来写
设置【密码最长使用期限】为【42】天
注意:不能设置为0天,否则最后会报错
设置【账户锁定阈值】为【3】,表示3次输错后锁定账户
设置【重置账户锁定计数器】为【30】分钟,每一次密码输入错误计数器都会加1,根据上一步的设置,当计数器值为3时账户锁定,在账户未被锁定之前,密码输入错误后30分钟内没有再次输错,计数器将会复位到0
设置【账户锁定时间】为【30】分钟,即锁定的账户将在30分钟后解锁
点击【完成】后就创建了一个PSO
3.将密码设置对象(PSO)应用于全局安全组
在刚刚创建的PSO上右键打开【属性】
如图编辑属性【msDS-PSOAppliesTo】
为其添加【IT】部这个全局安全组,确定后,这个PSO就应用于【IT】部全局安全组了