GPO组策略对象之配置不同密码策略

 

 

     出于安全考虑，公司一般会根据不同级别来定义不同的口令策略，比如普通员工的密码策略相对简单些，而一些比较重要的职位比如经理总经理  主管等会设置比较复杂一点的密码策略，这就要涉及到细粒度密码策略了；而细粒度密码策略的实现需要一些前提：

l  如果管理员需要实现精细粒度的口令策略，则必须要将域中的所有域控制器升级到2008并将整个域都处于2008的功能模式下。

l  如果在域环境中启用了细粒度口令策略，那么如果与其他口令策略发生冲突的时候，需要注意一个优先性的问题。

l  了解精细口令策略在继承上的限制。如果在组的级别上或者用户级别上设置普通用户口令策略的话，可以为同一个用户设置多个口令力策略。

 

下面首先配置常规的密码策略：

n  普通用户使用以下密码策略：

强制密码历史：50个密码

最长密码期限：30天

最短密码期限：1天

最短密码长度：8个字符

复杂密码：启用

使用可逆加密存储密码：禁用

 

修改密码策略：

1.   首先打开组策略管理，右击《Default Domain Policy》进行编辑。

2.   然后点击《计算机配置》----《windows设置》----《安全设置》----《账户策略》----《密码策略》。在这里我们可以看到密码的设置。

3.   然后双击《密码长度最小值》。并设置为8个字符。点击确定。双击《密码最长使用期限》，设置为30天。然后点击确定。

4.   设置完之后，我们可以在Default Domain Policy 的设置里看到我们设置的密码策略。

测试密码策略：

5.   在DC上，在运行里输入gpupdate /force强制刷新组策略。之后在域管理员登陆一台客户端计算机，运行rsop.msc命令打开策略的结果集。

n  细粒度密码策略设置：

密码策略：

ü  强制密码历史： 100

ü  最长密码期限： 15天

ü  最短密码期限： 1天

ü  最短密码长度： 12

ü  密码必须符合复杂性要求：启用

ü  使用可逆加密存储密码: 禁用

账户锁定策略：

ü  账户锁定时间： 30分钟

ü  账户锁定阀值： 3次

ü  复位账户锁定失败： 30分钟

 

一:创建PSO

1.   首先把域功能级别提升为windows server 2008 R2。

2.   登陆DC,然后打开AD用户和计算机，创建一个名为PSO的OU,然后再ou里面创建一个名为PSOGroup的全局安全组，。再把财务部经理和总经理添加到组中。

3.   之后打开ADSI编辑器。右击《CN=Password Settings Container》新建对象。

4.   这里为PSO取个便于自己管理的名称。这里我们取个《managerGPO》。设置密码的优先级，数值越小，优先级越高，这里我们设置为1，优先级最高。

5.   这里设置是否启用用户账户可还原状态。如果输入true（可以使用工具逆向dump出用户的密码），所以为了安全，我们设置false。这里设置用户密码的密码历史长度。可输入的值为0到1024，我们为了比较安全，可以设置100. 下面启用用户账户的密码复杂性要求。为了安全，当然启用复杂性要求了，这里设置true。

6.   设置用户账户的最短密码长度。可以输入的值有0到255，我们这里设置12. 这里设置用户账号密码的最短使用期限。我们设置1天，也就是必须使用一天才能修改密码。使用的格式为00:00:00:00，分别表示天、时、分、秒。我们这里设置01:00:00:00这里设置用户账户的最长密码期限。组策略默认是42天。我们为了安全，缩短定期修改密码的时间，这里设置15天。也就是15:00:00:00

7.   设置用户账户锁定的锁定阀值。我们这里设置输入3次错误密码就自动锁定。设置在此后复位锁定计数器。通俗的讲就是输错密码过多长时间才不会算一次。我们这里设置30分钟。00:00:30:00 。设置锁定用户账户的锁定持续时间。我们设置30分钟。

二：将PSO应用到用户组。

8.   点击《下一步》之后，在点击《更多属性》。在《选择一个要查看的属性》处选择msDC-PSOAppliesTo，编辑属性输入如图所示：然后点击确定。再点击完成。

 

三：查看并测试用户结果PSO

9.   打开AD用户与计算机，开启高级功能。然后在用户属性里面，点击属性编辑器。查看《msDS-ResultantPSO》属性里的值是否为managerPSO,

10. 之后我们修改用户密码来测试。首先输入密码为9位。修改不成功。因为不符合长度。

11. 我们再来输入12位的密码。修改成功。