Fine Grain Password Policy 颗粒化密码策略

在以前的Windows Server中，域中的密码策略只有两种，一种是默认域控制器策略，另一种是默认域策略。但是在实际的生产环境中，这样的策略是不能符合要求的。比如说，我们需要为服务器管理员（Domain Admin）设定更为严格的密码策略，我们也需要放宽普通用户的密码设定。我们怎么做到这些呢？这就要用到Windows Server 2008中的一项新技术——Fine Grain Password Policy。

Fine Grain Password Policy是体现在域中的PSC（Password Settings Container）。这个容器可以存放一些PSO密码策略。

这些密码策略能够被应用到用户或全局安全组，但不能被应用到计算机或OU上。

-

Fine Grain Password Policy的要求服务器使用Windows2008，并且为Windows 2008 域模式。

-

创建PSO的步骤（使用AdsiEdit）：

1、运行adsiedit.msc（AD服务界面编辑器，它提供了ADDS林中全部对象和属性的视图）

2、双击域，展开DC=，CN=System，CN=Password Settings Container

3、新建，对象，msDS-PasswordSettings

4、键入所有mustHave的值，包括：

msDS-PasswordSettingsPrecedence（密码设置优先级）

msDS-PasswordReversibleEncyptionEnabled（用户账户的密码可还原的加密状态）

msDS-PasswordHistoryLength（用户账户的密码历史长度）

msDS-PasswordComplexityEnable（用户账户的密码复杂性状态）

msDS-MinimumPasswordLength（用户账户的最短密码长度）

msDS-MinimumPasswordAge（用户账户的最短密码期限）

msDS-MaximumPasswordAge（用户账户的最长密码期限）

msDS-LockoutThreshold（用户账户锁定的锁定阀值）

msDS-LockoutObservationWindow（用户账户锁定的观察窗口）

msDS-LockoutDuration（锁定用户账户的锁定持续时间）

-

应用PSO的步骤（使用AdsiEdit）：

1、打开这个pso，在属性编辑器里找到msDS-PsoAppliesTo，选择要应用的用户或全局安全组即可。

-

注意：

1、优先级数字越小越优先。优先级可以相同。在相同优先级的情况下，系统根据GUID做判别。

-

使用第三方工具Fine Grain Password Policy Tool Beta 2创建PSO

相对于使用Adsiedit.msc建立PSO的方法，Fine Grain Password Policy Tool Beta 2提供了更为直观方便快捷的图形用户操作界面，同时它能很直观查看对象策略结果。

1、安装

Fine Grain Password Policy Tool Beta 2分为X64和X86两个版本，安装过程略

2、设置

运行MMC，添加Fine Grain Password Policy Tool管理单元