Windows Server 2008 多元密码策略配置
在活动目录帐号管理中我们经常为如何才能拥有多个密码策略呢?当然在过去我们所管理的Windows Server 2000或Windows Server 2003版本中,我们为了实现这种策略规则,可能就需要创建多个域才能实现。那么这样一来,将会使我们的管理更加复杂,随着Windows Server 2008的出现,这个问题,也被很好地解决,我们可以对不同的安全组匹配不同的密码策略规则,这样一来,我们的管理就将更加的灵活,在这里呢,我就将和大家一起分享如何配置多元密码策略功能。
以下呢就是我们配置多元密码策略功能的步骤:
使用ADSI Edit创建PSO
1) 单击“开始”/“管理工具”/“ADSI编辑器”;
2) 在打开的“ADSI编辑器”窗口中,右键单击“ADSI编辑器”/“连接到”,如下图所示;
3) 在弹出的“连接设置”窗口中,单击“确定”按钮,如下图所示;
4) 在ADSI编辑器窗口中,右键单击“CN=Password Settings Container”/“新建”/“对象”;
5) 在弹出的“创建对像”窗口中,单击“下一步”按钮,如下图所示;
6) 在下图所示的窗口中,输入对象名称“All_test_list”单击“下一步”按钮,如下图所示;
7) 在“msDS-PasswordSettingsPrecedence(优先级)”窗口中,设置值为“1”,单击“下一步”按钮,如下图所示;
8) 在“msDS-PasswordReversibleEncryptionEnabled(用可还原的加密来储存密码)”设置值为“False”,如下图所示;
9) 在“msDS-PasswordHistoryLength(强制密码历史)”窗口中,设置值为“10”,如下图所示;
10) 在“msDS-Password-ComplexityEnabled(密码必须符合复杂性要求)”窗口中设置值为“True”,如下图所示;
11) 在“msDS-MinimumPasswordLength(密码长度最小值)”窗口中,设置值为“8”,如下图所示;
12) 在“msDS-MinimumPasswordAge(密码最短使用期限)”窗口中,设置值为“1:00:00:00”,如下图所示;
13) 在密码“msDS-MaximumPasswordAge(密码最长使用期限)”窗口中,设置值为“42:00:00:00”,如下图所示;
14) 在“msDS-LockoutThreshold(帐户锁定阀值)”窗口,设置值为“10”,如下图所示;
15) 在“msDS-LockoutObservationWindow(重置帐户锁定计数器)”设置值为“0:00:30:00”,如下图所示;
16) 在“msDS-LockoutDuration(帐户锁定时间)”窗口中,设置值为“0:00:30:00”,如下图所示;
17) 在下图所示的窗口中,单击“完成”按钮;
将PSO应用到用户和全局安全组
1) 从ADSI中查询“All_test_list”中的DN值,并复制;
2) 右键单击“All_Test_list”,在弹出的快捷菜单击中,选择“属性“;
3) 在弹出的属性对话框中,双击“msDS-PSOAppliesTo“;
4) 在弹出的“具有安全主体的多值可分辩名称编辑器”中,单击“添加 DN”,如下图所示;
5) 在弹出的“添加可分辨名称(DN)”对话框中,粘贴刚才复制的“All_Test_list”的DN值,单击“确定”按钮;
6) 添加完成后,单击“确定”按钮;
7) 在返回的“All_Test_list”属性对话框中,单击“确定”退出即可;
至此呢,多元密码策略就配置完成了。