精通Windos Server 2008 密码策略.docxVIP

前言 　　众所周之，目录服务器DC的安全性至关重要，而密码的保护又是安全性保护中很重要的一环。为活动目录制定密码策略可以减少人为的和来自网络入侵的安全威胁，保证活动目录的安全。AD管理员应该都知道，在Windows2000/2003上，密码策略只能指派到域(Site)上，不能单独应用于活动目录中的对象。换句话说，密码策略在域级别起作用，而且一个域只能有一套密码策略。 统一的密码策略虽然大大提高了安全性，但是提高了域用户使用的复杂度。举个例子来说，企业管理员的帐户安全性要求很高，需要超强策略，比如密码需要一定长度、需要每两周更改管理员密码而且不能使用上几次的密码;但是普通的域用户并不需要如此高的密码策略，也不希望经常更改密码并使用很长的密码，超强的密码策略并不适合他们。 　　为解决这个问题，在Win2008中引入了多元密码策略(Fine-Grained Password Policy)的概念。多元密码策略允许针对不同用户或全局安全组应用不同的密码策略，例如: 　　A.可以为管理员组指派超强密码策略，密码16位以上、两周过期; 　　B.为服务帐号指派中等密码策略，密码30天过期，不配置密码锁定策略; 　　C.为普通域用户指派密码90天过期等。 　　多元密码策略的诞生，满足了不同用户对于安全性的不同要求。多元密码策略虽然满足了不同级别用户对于密码安全性的要求，但是配置多个密码策略为管理