radius服务器使用可逆的加密保存密码

声明：本文转载自gnaw0725.blogbus.com，更新网址：http://gnaw0725.blog.51cto.com。

       windows server 2003 RADIUS服务器,基于802.1x认证的，在用户属性，在“帐户”中选中“使用可逆的加密保存密码”（用于PAP,CHAP,MD5），在“拨入”中选中“允许访问”；，那请问用组策略如何实现对用户帐户的‘使用可逆的加密保存密码’?

回答：根据我的研究，“使用可逆的加密保存密码”会提高帐户的安全风险，一般情况下不推进这样做，因此，建议您只在需要使用RADIUS验证的帐号上来启用这个策略，这个设置可以在单个帐户上启用。步骤如下：
1. 在Active Directory 用户和计算机。
2. 右键点击帐户，选择属性，单击帐户页。
3. 勾选“使用可逆的加密保存密码”。
在组策略中的密码策略中，也有一个该选项的设置，但是这个策略是针对域中的所有用户，因此，我们不推荐通过组策略来设置这个选项，这会影响帐号安全。组策略设置方法如下：
1. 展开计算机配置\Windows 设置\安全设置\帐户策略\密码策略。
2. 在右边窗口，双击“使用可还原的加密来存储密码”策略，选择启用。

顺便说一下，这是一个密码策略，只能在域层级上设置，建议您直接修改默认域策略。在OU上启用该策略对客户端是不生效的。
罗俊华 微软全球技术支持中心