出于安全考虑,公司一般会根据不同级别来定义不同的口令策略,比如普通员工的密码策略相对简单些,而一些比较重要的职位比如经理总经理 主管等会设置比较复杂一点的密码策略,这就要涉及到细粒度密码策略了;而细粒度密码策略的实现需要一些前提:
l 如果管理员需要实现精细粒度的口令策略,则必须要将域中的所有域控制器升级到2008并将整个域都处于2008的功能模式下。
l 如果在域环境中启用了细粒度口令策略,那么如果与其他口令策略发生冲突的时候,需要注意一个优先性的问题。
l 了解精细口令策略在继承上的限制。如果在组的级别上或者用户级别上设置普通用户口令策略的话,可以为同一个用户设置多个口令力策略。
下面首先配置常规的密码策略:
n 普通用户使用以下密码策略:
强制密码历史:50个密码
最长密码期限:30天
最短密码期限:1天
最短密码长度:8个字符
复杂密码:启用
使用可逆加密存储密码:禁用
修改密码策略:
1. 首先打开组策略管理,右击《Default Domain Policy》进行编辑。
2. 然后点击《计算机配置》----《windows设置》----《安全设置》----《账户策略》----《密码策略》。在这里我们可以看到密码的设置。
3. 然后双击《密码长度最小值》。并设置为8个字符。点击确定。双击《密码最长使用期限》,设置为30天。然后点击确定。
4. 设置完之后,我们可以在Default Domain Policy 的设置里看到我们设置的密码策略。
测试密码策略:
5. 在DC上,在运行里输入gpupdate /force强制刷新组策略。之后在域管理员登陆一台客户端计算机,运行rsop.msc命令打开策略的结果集。
n 细粒度密码策略设置:
密码策略:
ü 强制密码历史: 100
ü 最长密码期限: 15天
ü 最短密码期限: 1天
ü 最短密码长度: 12
ü 密码必须符合复杂性要求:启用
ü 使用可逆加密存储密码: 禁用
账户锁定策略:
ü 账户锁定时间: 30分钟
ü 账户锁定阀值: 3次
ü 复位账户锁定失败: 30分钟
一:创建PSO
1. 首先把域功能级别提升为windows server 2008 R2。
2. 登陆DC,然后打开AD用户和计算机,创建一个名为PSO的OU,然后再ou里面创建一个名为PSOGroup的全局安全组,。再把财务部经理和总经理添加到组中。
3. 之后打开ADSI编辑器。右击《CN=Password Settings Container》新建对象。
4. 这里为PSO取个便于自己管理的名称。这里我们取个《managerGPO》。设置密码的优先级,数值越小,优先级越高,这里我们设置为1,优先级最高。
5. 这里设置是否启用用户账户可还原状态。如果输入true(可以使用工具逆向dump出用户的密码),所以为了安全,我们设置false。这里设置用户密码的密码历史长度。可输入的值为0到1024,我们为了比较安全,可以设置100. 下面启用用户账户的密码复杂性要求。为了安全,当然启用复杂性要求了,这里设置true。
6. 设置用户账户的最短密码长度。可以输入的值有0到255,我们这里设置12. 这里设置用户账号密码的最短使用期限。我们设置1天,也就是必须使用一天才能修改密码。使用的格式为00:00:00:00,分别表示天、时、分、秒。我们这里设置01:00:00:00这里设置用户账户的最长密码期限。组策略默认是42天。我们为了安全,缩短定期修改密码的时间,这里设置15天。也就是15:00:00:00
7. 设置用户账户锁定的锁定阀值。我们这里设置输入3次错误密码就自动锁定。设置在此后复位锁定计数器。通俗的讲就是输错密码过多长时间才不会算一次。我们这里设置30分钟。00:00:30:00 。设置锁定用户账户的锁定持续时间。我们设置30分钟。
二:将PSO应用到用户组。
8. 点击《下一步》之后,在点击《更多属性》。在《选择一个要查看的属性》处选择msDC-PSOAppliesTo,编辑属性输入如图所示:然后点击确定。再点击完成。
三:查看并测试用户结果PSO
9. 打开AD用户与计算机,开启高级功能。然后在用户属性里面,点击属性编辑器。查看《msDS-ResultantPSO》属性里的值是否为managerPSO,
10. 之后我们修改用户密码来测试。首先输入密码为9位。修改不成功。因为不符合长度。
11. 我们再来输入12位的密码。修改成功。
转载于:https://blog.51cto.com/5608626/1071191