|
相对于以前的活动目录只提供一种密码和账号锁定策略的状态,Windows Server 2008提供更为灵活的Fine Gained Password(粒化密码策略)。它能够让我们在一个域中指定多个密码策略,能够使用Fine-grained 密码策略来将不同的密码和账号锁定策略应用到域中不同集合的用户。
要存储Fine-grained 密码策略,Windows Server 2008 在活动目录目录服务架构中包含了两个新的对象:
1、Password Settings Container(密码设置容器)
2、Password Settings(密码设置)
Password Settings Container (PSC)在缺省情况下被创建在域的System 容器中。可以通过活动目录用户和计算机管理工具,选种高级特性选项来查看它。它存储域的Password Settings objects (PSOs) 。
我们不能重命名、移动或删除该容器。尽管您可以创建额外的自定义的PSCs ,它们不会被考虑当策略的结果集在计算对象的时候。因此,这也不是推荐的做法。
PSO 的属性的设置能够在Default Domain Policy(除Kerberos设置外)中设置。这些设置包括下面这些密码设置属性:
1、 Enforce password history(强制密码历史)
2、 Maximum password age(密码最长使用期限)
3、 Minimum password age(密码最短使用期限)
4、 Minimum password length(密码最短长度)
5、 Passwords must meet complexity requirements(密码必须符合复杂性)
6、 Store passwords using reversible encryption(用可还原的加密来储存密码)
这些设置也包含下面这些账号锁定设置属性:
1、 Account lockout duration(密码锁定时间)
2、 Account lockout threshold(密码锁定阀值)
3、 Reset account lockout after(复位账号锁定计算器)
此外,PSO还有下面两个新的属性:
2、Precedence(优先)。 这是一整数值,用来解决冲突,如果多个PSO 被应用到一个用户或组对象上。
这九个属性是mustHave 属性。意思是您必须为每个属性定义一个值。来自多个PSO 的设置不能被合并。
定义fine-grained 密码策略的范围
PSO 能够被链接到和PSO位于同一个域的用户(或inetOrgPerson)或组对象。
部署要求:
实验环境:
在Win2008R2CNDC这台DC上操作完成
实验要求:
检查提升域功能级别
建立测试用的全局安全组和用户
使用ADSIedit.msc创建PSO
使用第三方工具Fine Grain Password Policy Tool Beta 2创建PSO
验证用户的PSO应用
实验步骤:
一、检查提升域功能级别
 二、建立测试用的全局安全组TestGroup和用户TestUser,并将TestUser加入到TestGroup
 三、使用ADSIedit.msc创建PSO
运行ADSIedit.msc, 如下图进行操作
         四、使用第三方工具Fine Grain Password Policy Tool Beta 2创建PSO
相对于使用Adsiedit.msc建立PSO的方法,Fine Grain Password Policy Tool Beta 2提供了更为直观方便快捷的图形用户操作界面,同时它能很直观查看对象策略结果。
1、安装
Fine Grain Password Policy Tool Beta 2分为X64和X86两个版本,安装过程略
2、设置
运行MMC,添加Fine Grain Password Policy Tool管理单元
五、验证用户的PSO应用
可以通过活动目录用户和计算机,右击TESTUSER,选择更改密码,观察是否生效。 |
|
|
