Windows Server 2008 R2 之十三颗粒化密码策略
| 相对于以前的活动目录只提供一种密码和帐号锁定策略的状态,Windows Server 2008提供更为灵活的Fine Gained Password(粒化密码策略)。它能够让我们在一个域中指定多个密码策略,能够使用Fine-grained 密码策略来将不同的密码和账号锁定策略应用到域中不同集合的用户。
要存储Fine-grained 密码策略,Windows Server 2008 在活动目录目录服务架构中包含了两个新的对象: 1、Password Settings Container(密码设置容器) 2、Password Settings(密码设置) Password Settings Container (PSC)在缺省情况下被创建在域的System 容器中。可以通过活动目录用户和计算机管理工具,选种高级特性选项来查看它。它存储域的Password Settings objects (PSOs) 。 我们不能重命名、移动或删除该容器。尽管您可以创建额外的自定义的PSCs ,它们不会被考虑当策略的结果集在计算对象的时候。因此,这也不是推荐的做法。 PSO 的属性的设置能够在Default Domain Policy(除Kerberos设置外)中设置。这些设置包括下面这些密码设置属性: 1、 Enforce password history(强制密码历史) 2、 Maximum password age(密码最长使用期限) 3、 Minimum password age(密码最短使用期限) 4、 Minimum password length(密码最短长度) 5、 Passwords must meet complexity requirements(密码必须符合复杂性) 6、 Store passwords using reversible encryption(用可还原的加密来储存密码) 这些设置也包含下面这些账号锁定设置属性: 1、 Account lockout duration(密码锁定时间) 2、 Account lockout threshold(密码锁定阀值) 3、 Reset account lockout after(复位帐号锁定计算器) 此外,PSO还有下面两个新的属性: 2、Precedence(优先)。 这是一整数值,用来解决冲突,如果多个PSO 被应用到一个用户或组对象上。 这九个属性是mustHave 属性。意思是您必须为每个属性定义一个值。来自多个PSO 的设置不能被合并。 定义fine-grained 密码策略的范围 PSO 能够被链接到和PSO位于同一个域的用户(或inetOrgPerson)或组对象。
部署要求: 实验环境: 在Win2008R2CNDC这台DC上操作完成 实验要求: 检查提升域功能级别 建立测试用的全局安全组和用户 使用ADSIedit.msc创建PSO 使用第三方工具Fine Grain Password Policy Tool Beta 2创建PSO 验证用户的PSO应用 实验步骤: 一、检查提升域功能级别
二、建立测试用的全局安全组TestGroup和用户TestUser,并将TestUser加入到TestGroup
三、使用ADSIedit.msc创建PSO 运行ADSIedit.msc, 如下图进行操作
四、使用第三方工具Fine Grain Password Policy Tool Beta 2创建PSO 相对于使用Adsiedit.msc建立PSO的方法,Fine Grain Password Policy Too |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
