AD多元密码策略
AD多元密码策略
u 案例需求
在同一个域中针对不同用户实施不同的密码策略。
u 知识提示
在Windows域中,管理员通常都会通过组策略来部署密码策略,用来加强用户帐户的安全性,但是在Windows Server 2003及其之前版本的活动目录中,在一个域中只能有一套密码策略。在通常情况下,管理员账户和普通员工账户不适合使用统一的密码策略,比如普通员工账户适合于每个月更改一次密码,但管理员账户并不适合每个月更改一次密码;管理员账户密码通常也会比普通员工账户密码更加复杂,这同样也不适合于普通员工帐户。
为了解决这个问题,在Windows Server 2008中引入了多元密码策略,该策略允许针对不同用户或全局安全组应用不同的密码策略。
在部署多元密码策略的时候,要求所有域控制器都是Windows Server 2008,而且当前域功能级别必须为Windows Server 2008。
部署多元密码策略,需要使用ADSI Edit工具,具体操作步骤如下。
(1)在AD用户和计算机管理工具中创建OU,名为Admins,在OU中新建名为Admin_group的全局安全组,然后将用户“zhangsan”加入到该组,如图3.1所示。
图3.1 创建组
(2)在域控制器上的管理工具中打开“ADSI Edit”管理工具,右击“ADSI Edit”,在弹出的菜单中选择“连接到”命令,如图3.2所示。
图3.2 打开ADSI Edit管理工具
(3)在“连接设置”窗口中选择连接点,选择一个已知命名上下文为“默认命名上下文”,然后单击“确定”按钮,如图3.3所示。
图3.3 连接设置
(4)双击右侧窗口中的“默认命名上下文”,然后依次展开节点“DC”→“CN=System”→“CN=Password Settings Container”,右击“CN=Password Settings Container”,在弹出的菜单中依次选择“新建”→“对象”命令,如图3.4所示。
图3.4新建对象
(5)在“创建对象”窗口中直接单击“下一步”按钮,如图3.5所示。
图3.5 创建对象(1)
(6)在如图3.6所示窗口中输入一个有意义的值,便于管理,然后单击“下一步”按钮。
图3.6 创建对象(2)
(7)在如图3.7所示窗口中设置该密码策略的优先级。数值越小,优先级则越高,数值必须大于0才生效,在此输入1,然后单击“下一步”按钮。
图3.7 创建对象(3)
(8)在如图3.8所示窗口中设置用户密码是否可还原,如果启用可以使用工具逆向推测出用户密码。此处可输入的值为“TRUE/FALSE”,建议设置为“FALSE”,单击“下一步”按钮。
图3.8创建对象(4)
(9)在如图3.9所示窗口中设置密码历史记录,可以输入的值为0―1024,默认为24个,在此设置为“3”,单击“下一步”按钮。
图3.9 创建对象(5)
(10)在如图3.10所示窗口中设置密码复杂度,此处可输入的值为“TRUE/FALSE”,建议设置为“TRUE”,单击“下一步”按钮。
图3.10 创建对象(6)
(11)在如图3.11所示窗口中设置密码长度最小值,此处可输入的值为0--255,在此设置为“16”,单击“下一步”按钮。
图3.11 创建对象(7)
(12)在如图3.12所示窗口中设置密码最短使用期限,此处可输入值的格式为00:00:00:00,含义为天:小时:分:秒。在此设置为“00:00:00:00”,表示可以立即更改密码,单击“下一步”按钮。
图3.12 创建对象(8)
(13)在如图3.13所示窗口中设置密码最长使用期限,此处可设置的时间格式和上一步中的时间格式相同。在此设置值为 “180:00:00:00”,单击“下一步”按钮。
图3.13 创建对象(9)
(14)在如图3.14所示窗口中设置账户锁定阀值,此处可输入的值为0―65535,在此设置为3,单击“下一步”按钮。
图3.14创建对象(10)
(15)在如图3.15所示窗口中设置复位账户锁定计数器的时间,在此设置为“00:00:30:00”,单击“下一步”按钮。
图3.15创建对象(11)
(16)在如图3.16所示窗口中设置账户锁定时间,在此设置为“00:00:30:00”,单击“下一步”按钮。
图3.16创建对象(12)
(17)在如图3.17所示窗口中先不要单击“完成”按钮,单击“更多属性”按钮。
图3.17 创建对象(13)
(18)在如图3.18所示窗口中选择要查看的属性为“msDS-PSOAppliesTo”,用来将此密码策略连接到所应用的对象,只能够链接到用户或全局安全组。在此连接到在前面创建的Admin_group组,在编辑属性框中按图3.18中的格式输入后,单击“添加”按钮即可。
图3.18 创建对象(14)
至此就完成了密码策略的创建,在如图3.19中可以看到刚刚创建的密码策略对象。
图3.19 查看密码策略对象
最策略对象链接到安全组后,密码策略可以立即生效,使用如下命令可以查看当前用户所应用的密码策略,如图3.20所示,Admingroup就是刚刚在ADSI Edit工具中创建的组策略对象。
| dsget user "cn=zhangsan,ou=admins,dc=benet,dc=com" -effectivepso |
图3.20 查看用户密码策略