在Windows Server 2008中配置精準密碼政策和帳戶鎖定政策

在windows 2000和windows 2003的活動目錄域中，我們隻能夠在<b>Default Domain Policy</b>中為所有使用者配置應用一個密碼政策和帳戶鎖定政策，如果我們需要為一些特殊的使用者制定不同的密碼和帳戶鎖定政策，我們隻能夠通過建立新域的方法，因為以前一個域隻能夠使用一個密碼和帳戶鎖定政策。

       Windows Server 2008 ADDS 中新增了一項功能，稱為精準密碼政策，可以用它在域中定義多個密碼政策，并且将它應用到使用者或者全局安全組中，注意，不是應用在OU中，要想使用此功能， 我們需要借助ADSIEdit編輯器為域建立Password Settings objects (PSOs)，下面來介紹具體的操作：

       首先在08DC中打開ADSIEdit編輯器，定位到如下圖位置：

       在“<b>CN=Password Settings Container</b>”節點右鍵選擇建立，在彈出視窗中選擇“<b>msDS-PasswordSettings</b>”類别，如下圖所示：

      在緊接的視窗中為建立的Password Settings objects輸入一個名稱，如下圖所示：

      在彈出視窗中為msDS-PasswordSettingsPrecedence屬性設定一個值，該屬性為優先級設定，如果域中有多個密碼政策直接與使用者連結，将應用優先權值最小的政策，如下圖所示：

      在彈出視窗為msDS-PasswordReversibleEncryptionEnabled屬性設定一個布爾值，可以設定FALSE / TRUE，該屬性在組政策中對應“用可還原的加密來儲存密碼”設定，在此設定FALSE後單擊“下一步”，如下圖所示：

      在彈出視窗為msDS-PasswordHistoryLength屬性設定一個值，該屬性在組政策中對應“強制密碼曆史”設定，可用值的範圍為0-1024，在此設定後單擊“下一步”，如下圖所示：

      在彈出視窗中為msDS-PasswordComplexityEnabled屬性設定一個布爾值，可以設定FALSE / TRUE，該屬性在組政策中對應“密碼必須符合複雜性要求”設定，在此設定為啟用，單擊“下一步”，如下圖所示：

      在彈出視窗中為<b>msDS-MinimumPasswordLength</b>屬性設定一個值，可用值範圍為0-255，該屬性在組政策中對應“密碼長度最小值”設定，在輸入框中設定後單擊“下一步”，如下圖所示：

      在彈出視窗中為msDS-MinimumPasswordAge屬性設定一個值，該屬性在組政策中對應“密碼最短使用期限”設定，時間格式為“00:00:00:00”，在此設定為1天，1:00:00:00，設定後單擊“下一步”，如下圖所示：

      在彈出視窗中為msDS-MaximumPasswordAge屬性設定一個值，該屬性在組政策中對應“密碼最長使用期限”，時間格式同上，設定後單擊“下一步”，如下圖所示：

      在彈出視窗中為msDS-LockoutThreshold屬性設定一個值，該屬性在組政策中對應“帳戶鎖定門檻值”，可用值範圍為0-65535，設定後單擊“下一步”，如下圖所示：

       在彈出視窗中為msDS-LockoutObservationWindow屬性設定一個時間值，格式與前面設定的時間格式一緻，該屬性在組政策中對應“複位帳戶鎖定計數器”設定，在此設定為30分鐘，設定後單擊“下一步”，如下圖所示：

      在彈出視窗中為msDS-LockoutDuration屬性設定一個時間值，格式同上，該屬性在組政策中對應“帳戶鎖定時間”設定，設定後單擊“下一步”，如下圖所示：

      在完成視窗中單擊“完成”，如下圖所示：

      至此，一個自定義的密碼和帳戶鎖定政策已經建立完成， 那麼如何應用在一些帳戶上面呢？我們還需要進行下面幾步簡單操作...

      在上面操作後傳回的ADSIEdit中輕按兩下剛才建立好的Password Settings objects 對象，在彈出的屬性編輯視窗中找到

msDS-PSOAppliesTo屬性，單擊“編輯”，如下圖所示：

      在彈出的視窗中選擇應用此Password Settings objects的目标對象，在此選擇已經事先建立好的test全局安全組，選擇完成後單擊“确定”，如下圖所示：

      到這一步，政策已經應用到上面所選擇的組中了，隻要是屬于test組中的成員就會應用上面所建立的密碼和帳戶鎖定政策，下面來測試一下結果，打開 ADUC，先來測試一個沒有屬于test組的使用者，右擊user1帳戶，選擇重置密碼，輸入123後單擊确定，如下圖所示：

　　從上面截圖可以看到user1帳戶的密碼已經被重置成功，因為之前已經将Default Domain Policy設定成禁用密碼複雜性和最小密碼長度為0，是以可以使用這種簡單的密碼，現在将user1帳戶加入到test組中，如下圖所示：

　　下面再來使用簡單的密碼來重置一下，截圖如下：

　　可以看到user1加入test組之後立即應用上前面所建立的政策，現在已經不能夠使用之前的簡單密碼政策。

本文轉自葉俊堅51CTO部落格，原文連結：http://blog.51cto.com/yejunjian/144724 ，如需轉載請自行聯系原作者