在Windows2000/2003域中只存在一套密码策略,就是默认的域安全策略,它无法针对每个域用户去设置不同的密码策略,而在Windows2008域中提供了多元化密码策略,这就使得我们可以同一域环境中实现多套密码策略
在实现多元化密码策略之前,需要我们将域功能级别提升到Windows 2008或者Windows 2008R2
01
 
这是默认的域安全策略,可以看到密码策略没有做任何限制,也就是说,我现再的域用户,可以将密码长度任意设置,可以是纯字母,也可以是纯数字
02
 
 
在本实验中,我希望将IT部OU中的用户密码长度最小设置为8位,将人力资源部OU中的用户启用复杂性密码,销售部OU中的用户密码维持现状
可是多元化密码策略不能应用于OU,只能应用于全局安全组或者用户,那我们需要在每个OU中建立相应的部门全局安全组,再将各自的用户隶属于这个组中即可
 
1.创建全局安全组
在OU【IT部】中新建一个全局安全组【IT部】
03
 
打开【IT部】组的属性,添加成员【蒋庆秋】
04
 
按同样的方法,在OU【人力资源部】中新建全局安全组【人力资源部】,并添加成员【赵军】
在OU【销售部】中新建全局安全组【销售部】,并添加成员【王晓婷】
 
2.创建密码设置对象(PSO)
多元化密码策略可以通过两种方式来实现,一种是ADSI编辑器,另一种是比较直观的工具Fine Grain Password Policies Tool
这里我们首先通过ADSI编辑器来创建应用于【IT部】的密码策略,在域控制器上打开ADSI编辑器,右键选择【连接到】
05
 
选择【默认命名上下文】
06
 
按图展开到【CN=Password Settings Container】,右键新建【对象】,新建一个密码设置对象(PSO)
07
 
08
 
设置PSO名称
09
 
设置优先级,越小优先级越高
10
 
设置【用可还原的加密来存储密码】,这里设置为【False】
11
 
设置【强制密码历史】为【0】
12
 
设置【是否启用密码复杂性】,这里设置为【False】
13
 
设置【密码长度最小值】为【8】
14
 
设置【密码最短使用期限】为【0】天
注意:格式按照 天:时:分:秒(dd:hh:mm:ss) 来写
15
 
设置【密码最长使用期限】为【42】天
注意:不能设置为0天,否则最后会报错
16
 
设置【账户锁定阈值】为【3】,表示3次输错后锁定账户
17
 
设置【重置账户锁定计数器】为【30】分钟,每一次密码输入错误计数器都会加1,根据上一步的设置,当计数器值为3时账户锁定,在账户未被锁定之前,密码输入错误后30分钟内没有再次输错,计数器将会复位到0
18
 
设置【账户锁定时间】为【30】分钟,即锁定的账户将在30分钟后解锁
19
 
点击【完成】后就创建了一个PSO
20
 
3.将密码设置对象(PSO)应用于全局安全组
在刚刚创建的PSO上右键打开【属性】
21
 
如图编辑属性【msDS-PSOAppliesTo】
22
 
为其添加【IT】部这个全局安全组,确定后,这个PSO就应用于【IT】部全局安全组了
23
 
可以来测试一下,【蒋庆秋】这个账户隶属于【IT部】组,我们将其重置密码
24
 
还记得我们之前设置的密码策略吗?我要求IT部用户的最小密码长度是8位,这里我设置4位的密码试试
25
 
确定后报错了,说我们设置的密码不满足策略要求
26
 
那我设置成8位的密码
27
 
这里告诉密码已被更改,说明PSO应用成功
28
 
下面我们来用另一种比较直观快捷的方法来为【人力资源部】组创建并应用PSO
 
4.利用FGPP工具创建应用密码设置对象(PSO)
下载地址
安装FGPP工具
29
 
30
 
31
 
打开MMC,添加Fine Grain Password Policies Tool
32
 
在【Fine Grain Password Policies Tool】上右键选择【New Policy】,新建PSO
33
 
这里把所有步骤都放在了一个界面中了,比ADSI编辑器中建立PSO要方便多了吧,根据前面的要求,需要为【人力资源部】组启用复杂性密码
34
 
PSO创建完成后还是要应用到组,在新创建的PSO【HR-PSO-Policy】上右键打开属性
35
 
切换到【Policy Applies To】卡片,点击【Add】,添加【人力资源部】全局安全组
36
 
最后再来测试,将用户【赵军】密码重置,经测试,纯字母,纯数字,长度低于8位都无法修改成功
将密码修改为字母+数字+字符,并且长度大于等于8位时则修改成功
37