Chinaunix首页 | 论坛 | 博客
  • 博客访问: 524252
  • 博文数量: 105
  • 博客积分: 4174
  • 博客等级: 上校
  • 技术积分: 1395
  • 用 户 组: 普通用户
  • 注册时间: 2008-03-07 11:35
文章分类

全部博文(105)

文章存档

2013年(3)

2012年(16)

2011年(71)

2010年(3)

2009年(6)

2008年(6)

分类: WINDOWS

2012-04-24 12:00:04

   在Windows 2000和Windows 2003的活动目录域中,我们只能够在Default Domain Policy中为所有用户配置应用一个密码策略和帐户锁定策略,如果我们需要为一些特殊的用户制定不同的密码和帐户锁定策略,我们只能够通过创建新域的方 法,因为以前一个域只能够使用一个密码和帐户锁定策略。

  Windows Server 2008 ADDS 中新增了一项功能,称为精准密码策略,可以用它在域中定义多个密码策略,并且将它应用到用户或者全局安全组中,注意,不是应用在OU中,要想使用此功能, 我们需要借助ADSIEdit编辑器为域创建Password Settings objects (PSOs),下面来介绍具体的操作:

  首先在08DC中打开ADSIEdit编辑器,定位到如下图位置:

   


    
    在“CN=Password Settings Container”节点右键选择新建,在弹出窗口中选择“msDS-PasswordSettings”类别,如下图所示:
    
   


    
    在紧接的窗口中为新建的Password Settings objects输入一个名称,如下图所示:

   

    
   在弹出窗口中为msDS-PasswordSettingsPrecedence属性设置一个值,该属性为优先级设置,如果域中有多个密码策略直接与用户链接,将应用优先权值最小的策略,如下图所示:

   


    
    在弹出窗口为msDS-PasswordReversibleEncryptionEnabled属性设置一个布尔值,可以设置FALSE / TRUE,该属性在组策略中对应“用可还原的加密来储存密码”设置,在此设置FALSE后单击“下一步”,如下图所示:

   

    
    在弹出窗口为msDS-PasswordHistoryLength属性设置一个值,该属性在组策略中对应“强制密码历史”设置,可用值的范围为0-1024,在此设置后单击“下一步”,如下图所示:

   


    
    在弹出窗口中为msDS-PasswordComplexityEnabled属性设置一个布尔值,可以设置FALSE / TRUE,该属性在组策略中对应“密码必须符合复杂性要求”设置,在此设置为启用,单击“下一步”,如下图所示:

   


    
    在弹出窗口中为msDS-MinimumPasswordLength属性设置一个值,可用值范围为0-255,该属性在组策略中对应“密码长度最小值”设置,在输入框中设定后单击“下一步”,如下图所示:

   


    
    在弹出窗口中为msDS-MinimumPasswordAge属性设置一个值,该属性在组策略中对应“密码最短使用期限”设置,时间格式为“00:00:00:00”,在此设置为1天,1:00:00:00,设置后单击“下一步”,如下图所示:

   


    
    在弹出窗口中为msDS-MaximumPasswordAge属性设置一个值,该属性在组策略中对应“密码最长使用期限”,时间格式同上,设置后单击“下一步”,如下图所示:
    
   


    
    在弹出窗口中为msDS-LockoutThreshold属性设置一个值,该属性在组策略中对应“帐户锁定阈值”,可用值范围为0-65535,设置后单击“下一步”,如下图所示:

   


    
    在弹出窗口中为msDS-LockoutObservationWindow属性设置一个时间值,格式与前面设置的时间格式一致,该属性在组策略中对应“复位帐户锁定计数器”设置,在此设置为30分钟,设置后单击“下一步”,如下图所示:

   


    
    在弹出窗口中为msDS-LockoutDuration属性设置一个时间值,格式同上,该属性在组策略中对应“帐户锁定时间”设置,设置后单击“下一步”,如下图所示:

   

    
    在完成窗口中单击“完成”,如下图所示:

   


    
    至此,一个自定义的密码和帐户锁定策略已经创建完成, 那么如何应用在一些帐户上面呢?我们还需要进行下面几步简单操作...

  在上面操作后返回的ADSIEdit中双击刚才创建好的Password Settings objects 对象,在弹出的属性编辑窗口中找到 msDS-PSOAppliesTo属性,单击“编辑”,如下图所示:

   


    
    在弹出的窗口中选择应用此Password Settings objects的目标对象,在此选择已经事先创建好的test全局安全组,选择完成后单击“确定”,如下图所示:

   

   
    到这一步,策略已经应用到上面所选择的组中了,只要是属于test组中的成员就会应用上面所创建的密码和帐户锁定策略,下面来测试一下结果,打开 ADUC,先来测试一个没有属于test组的用户,右击user1帐户,选择重置密码,输入123后单击确定,如下图所示:

   

      
    从上面截图可以看到user1帐户的密码已经被重置成功,因为之前已经将Default Domain Policy设置成禁用密码复杂性和最小密码长度为0,所以可以使用这种简单的密码,现在将user1帐户加入到test组中,如下图所示:

   

    下面再来使用简单的密码来重置一下,截图如下:
  
   


    
    可以看到user1加入test组之后立即应用上前面所创建的策略,现在已经不能够使用之前的简单密码策略。

阅读(1896) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~