Windows2008多元密碼政策實戰篇（上）---Windows2008新功能系列之七

    對windows2003域環境熟悉的朋友都知道，在這樣的域環境内我們隻能維持一套密碼政策，而windows2008的域環境，為我們提供了一個新功能：多元密碼政策或顆粒化密碼政策（Fine-Grained Password Policies），它可以讓我們在一個域環境内實作多套密碼政策。不過在進行實戰之前，我們還得先講解一些理論。

    以前：

    2003以前的域環境，我們可以通過組政策在域級别上實施密碼政策，一般我們都是通過編輯“Default Domain Policy ” 來實作，如下圖所示：

在這裡不做過多的示範。

注意關鍵點：域級别、組政策。

如果你對相應的OU建立并編輯GPO，設定相應的“密碼政策”，則這個設定隻能對該OU内的計算機的本地使用者的密碼政策生效。

    現在：

    在Windows2008的域環境裡，我們不但可以像以前的03域環境一樣，我們還可以針對使用者或全局安全組設定相應的使用者密碼政策！這樣就相當于我們可以針對不同的部門實施不同的密碼政策了，當然，你最好把不同的部門使用者加入到不同的全局組内。這應該不難，為相應的部門建立OU，異或再建全局組，再把部門使用者帳号加入該全局組，這是我們推薦的方式。是以你要做的就是針對不同的特殊部門組建立密碼政策就可以了。

    這要是在以前，可能麻煩了，也許你就要為這個部門單獨建立一個子域了，即便不建立子域，實作起來也是很複雜的。

注意關鍵點：

應用對象：使用者、全局安全組（而非OU、域）

部署要求：全部DC為2008、域模式為win2008。

部署工具：使用ADSIEDIT、LDIFDE、第三方工具（推薦）

我們可以針對一個使用者或一個全局組設定多個密碼政策，是以對于優先級的問題：

1. 使用者級别密碼政策>全局組級别密碼政策>域級别密碼政策

2. 同一級别，如使用者，關聯多個PSO（Password-Setting-Object）時，優先（Precedence）值最小的生效！

而最終判斷原則，上述兩點中，先判斷第一點，再判斷第二點。

下面我們用兩種方法來實作多元密碼政策的配置：

1. 利用ADSIEDIT工具。

2. 利用第三方工具（推薦）。

環境：contoso.com域環境，w08a.contoso.com是DC，我們的操作就是DC上進行的。

一、使用ADSIEDIT配置多元密碼政策：

三個步驟：

（一）使用ADSIEDIT建立密碼設定對象（PSO）

（二）針對使用者或組應用PSO

（三） 驗證使用者的PSO應用

分步解析：

開始--搜尋-輸入adsiedit.msc後，如下所示：

單擊連接配接後，如下圖：

保持預設，單擊“确定”如下圖所示，找到對應的PSC，在其上右擊，選擇建立對象，如下：

下圖中，我們為PSO取一個名字：

下圖是設定優先值，在這裡值越小，越優先！！

下圖是設定“是否用可還原的加密來存儲密碼”，我們選擇否。

下圖是密碼曆史，我們選擇3次。

下圖是“選擇是否啟用密碼複雜性”，我們選擇否。

下圖是“最小密碼長度”，我們選擇8，即最短8個字元長度。

下圖是“密碼最短使用期限”，我們選擇一天。但格式必須是d:h:m:s（天：小時：分：秒）。

下圖是“密碼最長使用期限”，格式同上。

下圖是“密碼鎖定門檻值”，我們設定5次輸錯就鎖住。

下圖是“複位帳戶記數器”的時間，我們設定20分鐘後，計數器清0，格式D:H:M:S。

下圖是“密碼鎖定時間”，我們也設定20分鐘，即20分鐘後解鎖。

最後如下圖所示：如果單擊完成，出現錯誤，可以有針對性的修改，一般出錯，往往是前面輸入格式有問題，可以回退修改即可。

我們剛才所建立的PSO如下所示， 我們可以在其上右擊，選擇屬性，對其上設定進行二次修改，或添加相關聯的使用者或全局安全組。

（二）針對使用者或組應用PSO：

如上圖所示，單擊“屬性”後，并添加相應的使用者或全局安全組，如下：

選擇如上圖所示的屬性後，單擊“編輯”，如下圖并添加相應的HR全局組。最後單擊确定完成全局組的添加， 在這裡也可以添加使用者。此處就略了。

（三）驗證使用者的PSO應用：

我們修改這個HR組的使用者jack的密碼，如下圖所示過程：

上圖是因為我輸入的密碼長度太短造成的（不滿足本政策的8位），當然細心的朋友可以看到了（本文第一圖）我把域的密碼政策的密碼長度改成了0（不限長度），是以這個提示是因為我們剛才所建立的政策所緻。

小結：你可以針對不同的使用者或全局組建立你所需要的密碼政策，使之真正的為企業服務，進而提高企業的安全性。

本文轉自 jary3000 51CTO部落格，原文連結：http://blog.51cto.com/jary3000/193720，如需轉載請自行聯系原作者