windows 2012 精细化密码策略管理域用户(组)

windows 2012 精细化密码策略管理域用户(组)

Windows Server 2008平台中的ActiveDirectory域结构就已经存在“密码策略”和“帐户锁定策略”。但是这还不够，我们需要精确到group的密码策略，那么就需要运用到如下的技术。

针对不同的用户组别设定不同安全级别的密码策略被称为细粒度密码策略

细粒度的密码策略在Active Directory管理控制台执行操作。我们首先需要在密码设置容器中创建为不同的对象创建不同的FGPP“密码设置对象（PSO）”。

 

创建PSO:

1.设置对象名称：配置PSO的名称。

2.PSO优先级：输入的PSO优先级值。

3.最小密码长度：以最小数量的字符密码。如果指定此值设置为0，那就是不限长度。

4.记住密码数量：为防止新密码与最近使用密码相同的措施。

5.密码必须符合复杂性要求：以确定是否满足一个复杂的密码的要求。

注：数字是复杂的密码（0 .9），小写字母（A. Z），大写字母（A. Z）和特殊字符（＃@！等）类别的组合，至少包含以上3类字符的密码组合。例如，P@ssword，P@ssw0rd

 

6.使用可逆加密存储密码：设置数据库密码以纯文本或者以加密方式存储。此功能在默认情况下是禁用的，因为它降低密码的安全性。启用此设置，尤其是在一些应用中验证应用程序可以直接读取数据库用户的密码。

7.强制最短密码期限：在此时间内用户不能更改密码，密码创建完成后，必须使用一段时间才能修改，换句话说就是，密码最短使用期限设置。

8. 强制最长密码期限：用户必须更改密码后的日子，决定密码的最大寿命。在这一时期结束时，用户将无法登录并更改密码。

9.强制账户锁定策略：输入错误密码的最小限制

“允许失败的登录尝试的数量”是用户账号被锁定前密码输入错误几次。 数值“0”是不正确的输入，会造成无限数量的帐户错误尝试输入但是却不会引发锁定的情况。

“重置失败登录计数持续时间”错误输入计数器复位时间

 

创建完成PSO，我们需要应用到group or user

 

Ok,到这边我们就将新建的PSO直接应用于用户sam

创建完成后，也是可以修改信息的。右键点击它，“属性”，或双击的设置，就可以修改现有的PSO。

 

除了在创建PSO的时候直接指定关联，我们也可以在创建完PSO之后，单独指定user OR group

 

 

查询数据，选择一个PSO

 

 

 

点击确认所做的更改。

 

Ok，到这边手动关联成功。

下面我们来测试以下密码策略效果：

 

我们重置一个密码，输入123456

 

 

 

 

再次输入新密码passw0rd@@@

 

没有错误提示，修改成功。

 

精细化策略密码可以应用于更广泛的域环境和不同需求的办公场合，针对不同的安全级别我们可以设定不同的安全PSO.