Windows Server 2008多元密码策略

                                                                                         -----from  http://zhongboy.spaces.

Windows Server 2008多元密码策略之ADSIEDIT应用

在以前版本的活动目录域中，我们只可以在默认的域策略中为所有用户配置一个统一的密码策略和账户锁定策略。

多元化（颗粒化）密码策略，是Windows Server 2008活动目录域服务中新增的功能。它可以满足企业中针对业务扩张与法律需要来对不同用户应用不同的密码策略与账户锁定策略。也就是说，我们可以为IT管理员账户设置一个超复杂性的密码策略以满足安全性要求；为相关的服务账户设置一个中等的密码策略；为一般User设置一个较为简单的密码策略，以减少管理开支。总而言之，多元化密码策略大大提高了密码策略的灵活性。

在开始配置之前，我们先来了解下多元化密码策略应用的一些规则与要求：

多元化密码策略只可以应用于 AD中的用户与全局安全组，这与以往的GPO应用对象有所不同，相反的是它不同应用于计算机对象、OU等活动目录容器。

它的部署也是有要求的：

域中所有的DC须为Windows Server 2008

域模式为windows 2008 Domain Functional Mode

须使用ADSIEDIT或LDIFDE来进行配置与管理

当一个用户关联多个PSO时，优先级数字最小的优先

另外对客户端没有什么要求

配置多元化密码策略大体上分为三个步骤：

1. 使用ADSIEDIT创建密码设置对象（PSO）

2. 针对用户或组应用PSO

3. 验证用户的PSO应用

1. 使用ADSIEDIT创建密码设置对象（PSO）

在创建PSO之前，我们先来了解下这个PSO。在Windows Server 2008的活动目录域服务中，为了储存多元化密码策略，增加了两个新的对象类别：

密码设置容器(Password Settings Container)

密码设置（Password Settings）

而咱们要创建的这个密码设置对象PSO则储存在创建在域的系统容器中的密码设置容器中。

密码设置对象（PSO）中包含了以下属性设置：

强制密码历史

密码最长使用期限

密码最短使用期限

密码长度最小值

密码必须符合复杂性要求

用可还原的加密来储存密码

同时还包含了以下账户锁定设置：

账户锁定时间

账户锁定阈值

复位账户锁定计数器

这九个属性值是必须定义的，另外，PSO还有两个新属性：PSO链接与优先：

PSO链接：这是链接到用户或者组对象的多值属性

优先：这是一个用来解决多个PSO被应用到一个单个用户或组对象产生冲突的整数值

好了，详细了解后，我们开始创建这个PSO，在 开始 “运行”中输入“ADSIEDIT.MSC”定位到下图的位置：

右击这个容器，选择新建“对象”，在弹出窗口选择“msDS-PasswordSetings”类别，如下图示：

在紧接的窗口中为新建的Password Settings objects输入一个名称

在弹出窗口中为msDS-PasswordSettingsPrecedence属性设置一个值，该属性为优先级设置，如果域中有多个密码策略直接与用户链接，将应用优先权值最小的策略

在弹出窗口为msDS-PasswordReversibleEncryptionEnabled属性设置一个布尔值，可以设置FALSE / TRUE，该属性在组策略中对应“用可还原的加密来储存密码”设置，在此设置FALSE后单击“下一步”

在弹出窗口为msDS-PasswordHistoryLength属性设置一个值，该属性在组策略中对应“强制密码历史”设置，可用值的范围为0-1024，在此设

在弹出窗口中为msDS-PasswordComplexityEnabled属性设置一个布尔值，可以设置FALSE / TRUE，该属性在组策略中对应“密码必须符合复杂性要求”设置，在此设置为启用.

在弹出窗口中为msDS-MinimumPasswordLength属性设置一个值，可用值范围为0-255，该属性在组策略中对应“密码长度最小值”设置，在输入框中设定后单击“下一步.

在弹出窗口中为msDS-MinimumPasswordAge属性设置一个值，该属性在组策略中对应“密码最短使用期限”设置，时间格式为“00:00:00:00”，在此设置为2天，2:00:00:00.

在弹出窗口中为msDS-MaximumPasswordAge属性设置一个值，该属性在组策略中对应“密码最长使用期限”，时间格式同上，设置后单击“下一步”：

在弹出窗口中为msDS-LockoutThreshold属性设置一个值，该属性在组策略中对应“帐户锁定阈值”，可用值范围为0-65535，设置后单击“下一步”

在弹出窗口中为msDS-LockoutObservationWindow属性设置一个时间值，格式与前面设置的时间格式一致，该属性在组策略中对应“复位帐户锁定计数器”设置，在此设置为20分钟，设

在弹出窗口中为msDS-LockoutDuration属性设置一个时间值，格式同上，该属性在组策略中对应“帐户锁定时间”设置，设

在完成窗口中单击“完成”

在完成PSO的创建之后，还需为其指定应用的对象，即用户或安全组

2. 针对用户或组应用PSO

在ADSIEdit中双击刚才创建好的Password Settings objects 对象，在弹出的属性编辑窗口中找到 msDS-PSOAppliesTo属性，单击“编辑”

PS：看到这个属性就知道了，前面我们定义的几个属性，其实在这里都可以进行更改

在弹出的窗口中选择应用此Password Settings objects的目标对象，在此选择已经事先创建好的test全局安全组，选择完成后单击“确定”

至此，我们的多元化密码策略全部配置完成了，下面我们来测试下。

3. 验证用户的PSO应用

在测试的AD中，创建一个OU：testPSO.有一个全局安全组：psog（上面我们已将PSO应用至lishu用户了）此组包含用户lishu和lisi.(我们也可以将PSO应用于pso全局安全组)

我们先来更改下lisi的密码（默认的域策略中是强制密码复杂性要求且有最大长度限制的）试着将它改为123456

由于lishi账户继承的是默认域策略中的密码策略，因此，我们不能为其设置简单的密码。

下面我们再来试着更改下属于已应用PSO的安全组psog中lishu用户的密码

可以看出，咱们的PSO已经应用于testPSO全局安全组了，并已生效。

在测试PSO是否应用成功时，我们还可以借用一个命令来检查：

Dsget user “cn= 用户名,ou=用户所在ou,dc=yong,dc=com” －effectivepso