Windows 2008的AD域的多元密码策略.docx

Windows?2008的AD域的多元密码策略??? 众所周之，Windows2000或2003的AD域上，密码策略只能指派到域(Site)上，不能单独应用于活动目录中的对象。换句话说，密码策略在域级别起作用，而且一个域只能有一套密码策略。统一的密码策略虽然大大提高了安全性，但是提高了域用户使用的复杂度。举个例子来说，企业管理员的帐户安全性要求很高，需要超强策略，比如密码需要一定长度、需要每两周更改管理员密码而且不能使用上几次的密码;但是普通的域用户并不需要如此高的密码策略，也不希望经常更改密码并使用很长的密码，超强的密码策略并不适合他们。??? 为解决这个问题，在Windows 2008的AD域中引入了多元密码策略(Fine-Grained Password Policy)的概念。多元密码策略允许针对不同用户或全局安全组应用不同的密码策略，例如:??? A.可以为管理员组指派超强密码策略，密码16位以上、两周过期;??? B.为服务帐号指派中等密码策略，密码30天过期，不配置密码锁定策略;??? C.为普通域用户指派密码90天过期等。多元密码策略的诞生，满足了不同用户对于安全性的不同要求。多元密码策略虽然满足了不同级别用户对于密码安全性的要求，但是配置多个密码策略为管理员增加了管理复杂度，管理起来也不是很方便，所谓鱼和熊掌不可兼得。而我写这篇文章的初衷就是帮朋友尽快熟悉起这个功能，鱼和熊掌，我欲兼得！一、部署条件??? 多元密码策略部署要求有以下几点：??? A. 所有域控制器都必须是Windows Server 2008；??? B. 域功能级别为2008 Domain Functional Mode；??? C. 客户端无需任何变更；??? D. 如果一个用户和组有多个密码设置对象（PSO，可以把PSO理解为和组策略对象GPO类似，通俗的理解为就是一条条的密码策略），那么优先级最小的PSO将最终生效;??? E. 多元密码策略只能应用于活动目录中的用户和全局安全组，而不能应用于活动目录中的计算机对象、非域内用户和组织单元OU。二、部署实战??? 我将通过实战方式向大家介绍如何通过ADSIEDIT、LDIFDE以及第三方工具FGPP、Quese公司出品的针对AD的PowerShell来实现、管理多元密码策略。主要的操作步骤如下：??? 步骤 1：创建 PSO??? 步骤 2：将 PSO 应用到用户和/或全局安全组??? 步骤 3：管理 PSO??? 步骤 4：查看用户或全局安全组的结果 PSO??? 步骤5：验证结果步骤1：使用ADSIEDIT工具，创建PSO??? 1.在DC上打开“活动目录用户和计算机”，创建一个名为”TestOU”的OU，然后在该OU里面建立一个名为张三的用户和一个名为PSOGroup的全局安全组，再把张三加入该组中。??? 2.在DC上输入adsiedit.msc工具，选择“默认命名上下文”，展开CN=System至CN=Password Settings Container，右击选择“新建\对象”；??? 3.在“新建对象”界面中，点击“下一步”；??? 4.在“值”中，输入“AdminPSO”（为这个密码策略取名），并单击“下一步”；????5.接下来修改msDS-PasswordSettingsPrecedence属性。在“值”中，输入“1”（设置密码策略的优先级），并单击“下一步”；??? 6.接下来修改msDS-PasswordReversibleEncryptionEnabled属性。在“值”中，输入“False”（是否启用用户帐户的密码可还原的加密状态），并单击“下一步”；??? 7.接下来修改msDS-PasswordHistoryLength属性，也就是设置用户帐户的密码历史长度。在“值”中，输入“3”，并单击“下一步”；????8.接下来修改msDS-PasswordComplexityEnabled属性，也就是是启用户帐户的密码复杂性要求。在“值”中，输入“TRUE”，并单击“下一步”；??? 9.接下来修改msDS-MinimumPasswordLength属性，也就是设置用户帐户的最短密码长度。在“值”中，输入“16”，并单击“下一步”；??? 10.接下来修改msDS-MinimumPasswordAge属性，也就是设置用户帐户密码的最短使用期限。默认必须是使用1天后才能再次更改密码。可以接受输入的格式为00:00:00:00。这4段分别表示为多少天、多少小时，多少分，多少秒。在“值”中，输入“00:00:00:00”，并单击“下一步”；??? 11.接下来修改msDS-MaximumPasswordAge属性，也就是设置用户帐户的最长密码期限。默认是42天。在“值”中，