在Windows 2000和Windows 2003的活动目录域中,我们只能够在Default Domain Policy中为所有用户配置应用一个密码策略和帐户锁定策略,如果我们需要为一些特殊的用户制定不同的密码和帐户锁定策略,我们只能够通过创建新域的方法,因为以前一个域只能够使用一个密码和帐户锁定策略。
Windows Server 2008 ADDS 中新增了一项功能,称为精准密码策略,可以用它在域中定义多个密码策略,并且将它应用到用户或者全局安全组中,注意,不是应用在OU中,要想使用此功能,我们需要借助ADSIEdit编辑器为域创建Password Settings objects (PSOs),下面来介绍具体的操作:
首先在08DC中打开ADSIEdit编辑器,定位到如下图位置:
在“CN=Password Settings Container”节点右键选择新建,在弹出窗口中选择“msDS-PasswordSettings”类别,如下图所示:
在紧接的窗口中为新建的Password Settings objects输入一个名称,如下图所示:
在弹出窗口中为msDS-PasswordSettingsPrecedence属性设置一个值,该属性为优先级设置,如果域中有多个密码策略直接与用户链接,将应用优先权值最小的策略,如下图所示:
在弹出窗口为msDS-PasswordReversibleEncryptionEnabled属性设置一个布尔值,可以设置FALSE / TRUE,该属性在组策略中对应“用可还原的加密来储存密码”设置,在此设置FALSE后单击“下一步”,如下图所示:
在弹出窗口为msDS-PasswordHistoryLength属性设置一个值,该属性在组策略中对应“强制密码历史”设置,可用值的范围为0-1024,在此设置后单击“下一步”,如下图所示:
在弹出窗口中为msDS-PasswordComplexityEnabled属性设置一个布尔值,可以设置FALSE / TRUE,该属性在组策略中对应“密码必须符合复杂性要求”设置,在此设置为启用,单击“下一步”,如下图所示:
在弹出窗口中为msDS-MinimumPasswordLength属性设置一个值,可用值范围为0-255,该属性在组策略中对应“密码长度最小值”设置,在输入框中设定后单击“下一步”,如下图所示:
在弹出窗口中为msDS-MinimumPasswordAge属性设置一个值,该属性在组策略中对应“密码最短使用期限”设置,时间格式为“00:00:00:00”,在此设置为1天,1:00:00:00,设置后单击“下一步”,如下图所示:
在弹出窗口中为msDS-MaximumPasswordAge属性设置一个值,该属性在组策略中对应“密码最长使用期限”,时间格式同上,设置后单击“下一步”,如下图所示:
在弹出窗口中为msDS-LockoutThreshold属性设置一个值,该属性在组策略中对应“帐户锁定阈值”,可用值范围为0-65535,设置后单击“下一步”,如下图所示:
在弹出窗口中为msDS-LockoutObservationWindow属性设置一个时间值,格式与前面设置的时间格式一致,该属性在组策略中对应“复位帐户锁定计数器”设置,在此设置为30分钟,设置后单击“下一步”,如下图所示:
在弹出窗口中为msDS-LockoutDuration属性设置一个时间值,格式同上,该属性在组策略中对应“帐户锁定时间”设置,设置后单击“下一步”,如下图所示:
在完成窗口中单击“完成”,如下图所示:
至此,一个自定义的密码和帐户锁定策略已经创建完成, 那么如何应用在一些帐户上面呢?我们还需要进行下面几步简单操作...
在上面操作后返回的ADSIEdit中双击刚才创建好的Password Settings objects 对象,在弹出的属性编辑窗口中找到 msDS-PSOAppliesTo属性,单击“编辑”,如下图所示:
在弹出的窗口中选择应用此Password Settings objects的目标对象,在此选择已经事先创建好的test全局安全组,选择完成后单击“确定”,如下图所示:
到这一步,策略已经应用到上面所选择的组中了,只要是属于test组中的成员就会应用上面所创建的密码和帐户锁定策略,下面来测试一下结果,打开ADUC,先来测试一个没有属于test组的用户,右击user1帐户,选择重置密码,输入123后单击确定,如下图所示:
从上面截图可以看到user1帐户的密码已经被重置成功,因为之前已经将Default Domain Policy设置成禁用密码复杂性和最小密码长度为0,所以可以使用这种简单的密码,现在将user1帐户加入到test组中,如下图所示:
下面再来使用简单的密码来重置一下,截图如下:
可以看到user1加入test组之后立即应用上前面所创建的策略,现在已经不能够使用之前的简单密码策略。