实战Windows2008多元密码策略
在Windows2000/2003域中只存在一套密码策略,就是默认的域安全策略,它无法针对每个域用户去设置不同的密码策略,而在Windows2008域中提供了多元化密码策略,这就使得我们可以同一域环境中实现多套密码策略
在实现多元化密码策略之前,需要我们将域功能级别提升到Windows 2008或者Windows 2008R2
这是默认的域安全策略,可以看到密码策略没有做任何限制,也就是说,我现再的域用户,可以将密码长度任意设置,可以是纯字母,也可以是纯数字
在本实验中,我希望将IT部OU中的用户密码长度最小设置为8位,将人力资源部OU中的用户启用复杂性密码,销售部OU中的用户密码维持现状
可是多元化密码策略不能应用于OU,只能应用于全局安全组或者用户,那我们需要在每个OU中建立相应的部门全局安全组,再将各自的用户隶属于这个组中即可
1.创建全局安全组
在OU【IT部】中新建一个全局安全组【IT部】
打开【IT部】组的属性,添加成员【蒋庆秋】
按同样的方法,在OU【人力资源部】中新建全局安全组【人力资源部】,并添加成员【赵军】
在OU【销售部】中新建全局安全组【销售部】,并添加成员【王晓婷】
2.创建密码设置对象(PSO)
多元化密码策略可以通过两种方式来实现,一种是ADSI编辑器,另一种是比较直观的工具Fine Grain Password Policies Tool
这里我们首先通过ADSI编辑器来创建应用于【IT部】的密码策略,在域控制器上打开ADSI编辑器,右键选择【连接到】
选择【默认命名上下文】
按图展开到【CN=Password Settings Container】,右键新建【对象】,新建一个密码设置对象(PSO)
设置PSO名称
设置优先级,越小优先级越高
设置【用可还原的加密来存储密码】,这里设置为【False】
设置【强制密码历史】为【0】
设置【是否启用密码复杂性】,这里设置为【False】
设置【密码长度最小值】为【8】
设置【密码最短使用期限】为【0】天
注意:格式按照 天:时:分:秒(dd:hh:mm:ss) 来写
设置【密码最长使用期限】为【42】天
注意:不能设置为0天,否则最后会报错
设置【账户锁定阈值】为【3】,表示3次输错后锁定账户
设置【重置账户锁定计数器】为【30】分钟,每一次密码输入错误计数器都会加1,根据上一步的设置,当计数器值为3时账户锁定,在账户未被锁定之前,密码输入错误后30分钟内没有再次输错,计数器将会复位到0
设置【账户锁定时间】为【30】分钟,即锁定的账户将在30分钟后解锁
点击【完成】后就创建了一个PSO
3.将密码设置对象(PSO)应用于全局安全组
在刚刚创建的PSO上右键打开【属性】
如图编辑属性【msDS-PSOAppliesTo】
为其添加【IT】部这个全局安全组,确定后,这个PSO就应用于【IT】部全局安全组了
可以来测试一下,【蒋庆秋】这个账户隶属于【IT部】组,我们将其重置密码
还记得我们之前设置的密码策略吗?我要求IT部用户的最小密码长度是8位,这里我设置4位的密码试试
确定后报错了,说我们设置的密码不满足策略要求
那我设置成8位的密码
这里告诉密码已被更改,说明PSO应用成功
下面我们来用另一种比较直观快捷的方法来为【人力资源部】组创建并应用PSO
4.利用FGPP工具创建应用密码设置对象(PSO)
下载地址
http://down.51cto.com/data/558895 32位
http://down.51cto.com/data/558894 64位
安装FGPP工具
打开MMC,添加Fine Grain Password Policies Tool
在【Fine Grain Password Policies Tool】上右键选择【New Policy】,新建PSO
这里把所有步骤都放在了一个界面中了,比ADSI编辑器中建立PSO要方便多了吧,根据前面的要求,需要为【人力资源部】组启用复杂性密码
PSO创建完成后还是要应用到组,在新创建的PSO【HR-PSO-Policy】上右键打开属性
切换到【Policy Applies To】卡片,点击【Add】,添加【人力资源部】全局安全组
最后再来测试,将用户【赵军】密码重置,经测试,纯字母,纯数字,长度低于8位都无法修改成功
将密码修改为字母+数字+字符,并且长度大于等于8位时则修改成功
