Fine Grain Password Policy 颗粒化密码策略

在以前的Windows Server中,域中的密码策略只有两种,一种是默认域控制器策略,另一种是默认域策略。但是在实际的生产环境中,这样的策略是不能符合要求的。比如说,我们需要为服务器管理员(Domain Admin)设定更为严格的密码策略,我们也需要放宽普通用户的密码设定。我们怎么做到这些呢?这就要用到Windows Server 2008中的一项新技术――Fine Grain Password Policy。
Fine Grain Password Policy是体现在域中的PSC(Password Settings Container)。这个容器可以存放一些PSO密码策略。
这些密码策略能够被应用到用户或全局安全组,但不能被应用到计算机或OU上。
-
Fine Grain Password Policy的要求服务器使用Windows2008,并且为Windows 2008 域模式。
-
创建PSO的步骤(使用AdsiEdit):
1、运行adsiedit.msc(AD服务界面编辑器,它提供了ADDS林中全部对象和属性的视图)
2、双击域,展开DC=<domain_name>,CN=System,CN=Password Settings Container
3、新建,对象,msDS-PasswordSettings
4、键入所有mustHave的值,包括:
msDS-PasswordSettingsPrecedence(密码设置优先级)
msDS-PasswordReversibleEncyptionEnabled(用户账户的密码可还原的加密状态)
msDS-PasswordHistoryLength(用户账户的密码历史长度)
msDS-PasswordComplexityEnable(用户账户的密码复杂性状态)
msDS-MinimumPasswordLength(用户账户的最短密码长度)
msDS-MinimumPasswordAge(用户账户的最短密码期限)
msDS-MaximumPasswordAge(用户账户的最长密码期限)
msDS-LockoutThreshold(用户账户锁定的锁定阀值)
msDS-LockoutObservationWindow(用户账户锁定的观察窗口)
msDS-LockoutDuration(锁定用户账户的锁定持续时间)
-
应用PSO的步骤(使用AdsiEdit):
1、打开这个pso,在属性编辑器里找到msDS-PsoAppliesTo,选择要应用的用户或全局安全组即可。
-
注意:
1、优先级数字越小越优先。优先级可以相同。在相同优先级的情况下,系统根据GUID做判别。
-
使用第三方工具Fine Grain Password Policy Tool Beta 2创建PSO
相对于使用Adsiedit.msc建立PSO的方法,Fine Grain Password Policy Tool Beta 2提供了更为直观方便快捷的图形用户操作界面,同时它能很直观查看对象策略结果。
1、安装
Fine Grain Password Policy Tool Beta 2分为X64和X86两个版本,安装过程略
2、设置
运行MMC,添加Fine Grain Password Policy Tool管理单元
Fine Grain Password Policy 颗粒化密码策略_第1张图片

你可能感兴趣的:(password,policy,fine,Grain,颗粒化密码策略)