1 多元(颗粒化)密码策略介绍


  • 在windows server 2000/2003中,我们无法针对域用户不同而设置不同密码策略,

  • 域用户密码策略和账户设置都 由默认域策略控制,如果要重新建立策略我们必须创建密码筛选器,如果想部署多元(颗粒化)密码策略,我们只能使用windows server 2008/windows server 2008R2 AD, 提供了多元密码策略可以在单个域中指定多个密码策略。这使得域管理员组成员可以为域中不同的用户组创建不同的密码策略和帐户锁定设置。举例来说,域管理员能够为一个高权限用户组(有着更多的访问特权的用户组)创建一条更严格的密码策略,而为普通用户组应用不太严格的密码策略。


2 注意事项


  • 只能被应用到用户对象或者全局安全组

  • 无法将多元密码策略直接应用于一个OU之上

  • 要对OU中的用户建立多元密码策略,应将密码策略应用于一个全局安全组,(逻辑上映射到 OU的一个用户组,即shadow group影子组)。

  • 用户从一个OU移动到另外的OU(为了用户受新移动到的OU上的密码策略控制或是不再受原来OU的密码策略影响),你必须更新相应影子组的成员身份


3 部署条件


多元密码策略部署要求有以下几点:

  • 所有域控制器都必须是Windows Server 2008或更高域功能级别为2008 Domain Functional Mode;

  • 客户端无需任何变更;

  • 如果一个用户和组有多个密码设置对象(PSO,可以把PSO理解为和组策略对  象GPO类似,通俗的理解为就是一条条的密码策略),那么优先级最小的PSO将最终生效;

  • 多元密码策略只能应用于活动目录中的用户和全局安全组,而不能应用于活动目录中的计算机对象、非域内用户和组织单元OU


4 部署方式


  • Fine Grain Password Policy Tool

  • Adsiedit.MSC工具创建密码配置对象


5 实战部署


  • 检查当前AD域功能级别,域功能级别为Windows Server 2012R2.

  • 创建全局安全组TestPssword,并且添加组成员

  • 使用ADSIedit.msc创建PSO

  • msDS-PasswordSettingsPrecedence,设置密码策略的优先级,数值越小优先级越高,设置为"1"

  • msDS-PasswordReversibleEncryptionEnabled,设置是否启用"用可还原的加密来存储密码"策略,其值是个布尔值,可选择FALSE或者TRUE,在此我们设置为"FALSE"

  • msDS-PasswordHistoryLength,对应组策略中的"强制密码历史",可选范围是0-1024,我们设置为0

  • msDS-PasswordComplexityEnabled,对应组策略中的"密码必须符合复杂性要求",也是一个布尔值,我们设置为"true"

  • msDS-MinimumPasswordLength,设置密码长度最小值为

  • msDS-MinimumPasswordAge,设置密码最短使期限为1:00:00:00(1天);注意:格式按照 天:时:分:秒(dd:hh:mm:ss) 来写

  • msDS-MaximumPasswordAge,设置密码最常使用期限为90:00:00:00(90天);注意:不能设置为0天,否则最后会报错

  • msDS-LockoutThreshold,设置帐户锁定阀值为3,表示3次输错后锁定账户(可以范围0-65535)

  • msDS-LockoutObservationWindow,设置复位帐户锁定计数器为00:00:30:00(30分钟)

  • 设置【重置账户锁定计数器】为【30】分钟,每一次密码输入错误计数器都会加1,根据上一步的设置,当计数器值为3时账户锁定,在账户未被锁定之前,密码输入错误后30分钟内没有再次输错,计数器将会复位到0

  • msDS-LockoutDuration,设置帐户锁定时间为0:00:30:00(30分钟)。即锁定的账户将在30分钟后解锁

  • 在新建好的testpassword右键属性找到"msDS-PSOAppliesTo"添加安全组testpassword

  • 检查默认策略

  • 确认后我们开始测试用户更改密码情况