在以前的Windows Server中,域中的密码策略只有两种,一种是默认域控制器策略,另一种是默认域策略。但是在实际的生产环境中,这样的策略是不能符合要求的。比如说,我们需要为服务器管理员(Domain Admin)设定更为严格的密码策略,我们也需要放宽普通用户的密码设定。我们怎么做到这些呢?这就要用到Windows Server 2008中的一项新技术——Fine Grain Password Policy。
Fine Grain Password Policy是体现在域中的PSC(Password Settings Container)。这个容器可以存放一些PSO密码策略。
这些密码策略能够被应用到用户或全局安全组,但不能被应用到计算机或OU上。
-
Fine Grain Password Policy的要求服务器使用Windows2008,并且为Windows 2008 域模式。
-
创建PSO的步骤(使用AdsiEdit):
1、运行adsiedit.msc(AD服务界面编辑器,它提供了ADDS林中全部对象和属性的视图)
2、双击域,展开DC=<domain_name>,CN=System,CN=Password Settings Container
3、新建,对象,msDS-PasswordSettings
4、键入所有mustHave的值,包括:
msDS-PasswordSettingsPrecedence(密码设置优先级)
msDS-PasswordReversibleEncyptionEnabled(用户账户的密码可还原的加密状态)
msDS-PasswordHistoryLength(用户账户的密码历史长度)
msDS-PasswordComplexityEnable(用户账户的密码复杂性状态)
msDS-MinimumPasswordLength(用户账户的最短密码长度)
msDS-MinimumPasswordAge(用户账户的最短密码期限)
msDS-MaximumPasswordAge(用户账户的最长密码期限)
msDS-LockoutThreshold(用户账户锁定的锁定阀值)
msDS-LockoutObservationWindow(用户账户锁定的观察窗口)
msDS-LockoutDuration(锁定用户账户的锁定持续时间)
-
应用PSO的步骤(使用AdsiEdit):
1、打开这个pso,在属性编辑器里找到msDS-PsoAppliesTo,选择要应用的用户或全局安全组即可。
-
注意:
1、优先级数字越小越优先。优先级可以相同。在相同优先级的情况下,系统根据GUID做判别。
-
使用第三方工具Fine Grain Password Policy Tool Beta 2创建PSO
相对于使用Adsiedit.msc建立PSO的方法,Fine Grain Password Policy Tool Beta 2提供了更为直观方便快捷的图形用户操作界面,同时它能很直观查看对象策略结果。
1、安装
Fine Grain Password Policy Tool Beta 2分为X64和X86两个版本,安装过程略
2、设置
运行MMC,添加Fine Grain Password Policy Tool管理单元