在活动目录帐号管理中我们经常为如何才能拥有多个密码策略呢?当然在过去我们所管理的Windows Server 2000或Windows Server 2003版本中,我们为了实现这种策略规则,可能就需要创建多个域才能实现。那么这样一来,将会使我们的管理更加复杂,随着Windows Server 2008的出现,这个问题,也被很好地解决,我们可以对不同的安全组匹配不同的密码策略规则,这样一来,我们的管理就将更加的灵活,在这里呢,我就将和大家一起分享如何配置多元密码策略功能。

              以下呢就是我们配置多元密码策略功能的步骤:

使用ADSI Edit创建PSO

1) 单击“开始”/“管理工具”/“ADSI编辑器”;

2) 在打开的“ADSI编辑器”窗口中,右键单击“ADSI编辑器”/“连接到”,如下图所示;

clip_p_w_picpath002

3) 在弹出的“连接设置”窗口中,单击“确定”按钮,如下图所示;

clip_p_w_picpath004

4) 在ADSI编辑器窗口中,右键单击“CN=Password Settings Container”/“新建”/“对象”;

5) 在弹出的“创建对像”窗口中,单击“下一步”按钮,如下图所示;

clip_p_w_picpath006

6) 在下图所示的窗口中,输入对象名称“All_test_list”单击“下一步”按钮,如下图所示;

clip_p_w_picpath007

7) 在“msDS-PasswordSettingsPrecedence(优先级)”窗口中,设置值为“1”,单击“下一步”按钮,如下图所示;

clip_p_w_picpath008

8) 在“msDS-PasswordReversibleEncryptionEnabled(用可还原的加密来储存密码)”设置值为“False”,如下图所示;

clip_p_w_picpath010

9) 在“msDS-PasswordHistoryLength(强制密码历史)”窗口中,设置值为“10”,如下图所示;

clip_p_w_picpath011

10) 在“msDS-Password-ComplexityEnabled(密码必须符合复杂性要求)”窗口中设置值为“True”,如下图所示;

clip_p_w_picpath013

11) 在“msDS-MinimumPasswordLength(密码长度最小值)”窗口中,设置值为“8”,如下图所示;

clip_p_w_picpath015

12) 在“msDS-MinimumPasswordAge(密码最短使用期限)”窗口中,设置值为“1:00:00:00”,如下图所示;

clip_p_w_picpath016

13) 在密码“msDS-MaximumPasswordAge(密码最长使用期限)”窗口中,设置值为“42:00:00:00”,如下图所示;

clip_p_w_picpath017

14) 在“msDS-LockoutThreshold(帐户锁定阀值)”窗口,设置值为“10”,如下图所示;

clip_p_w_picpath018

15) 在“msDS-LockoutObservationWindow(重置帐户锁定计数器)”设置值为“0:00:30:00”,如下图所示;

clip_p_w_picpath019

16) 在“msDS-LockoutDuration(帐户锁定时间)”窗口中,设置值为“0:00:30:00”,如下图所示;

clip_p_w_picpath020

17) 在下图所示的窗口中,单击“完成”按钮;

clip_p_w_picpath022

将PSO应用到用户和全局安全组

1) 从ADSI中查询“All_test_list”中的DN值,并复制;

2) 右键单击“All_Test_list”,在弹出的快捷菜单击中,选择“属性“;

3) 在弹出的属性对话框中,双击“msDS-PSOAppliesTo“;

4) 在弹出的“具有安全主体的多值可分辩名称编辑器”中,单击“添加 DN”,如下图所示;

clip_p_w_picpath024

5) 在弹出的“添加可分辨名称(DN)”对话框中,粘贴刚才复制的“All_Test_list”的DN值,单击“确定”按钮;

6) 添加完成后,单击“确定”按钮;

7) 在返回的“All_Test_list”属性对话框中,单击“确定”退出即可;

至此呢,多元密码策略就配置完成了。