首页
下载
课程学习 存储 区块链 人工智能 游戏开发 音视频 跨平台 大数据 云计算 考试认证 信息化 服务器应用 行业 数据库 安全技术 操作系统 网络技术 编程语言 移动开发
代码
开发工具和环境 操作系统 网络和安全 排序算法 移动开发 后端开发 前端开发 数据库 开发语言
首页
代码
大数据
正文

在Windows Server 2008中配置精准密码策略和帐户锁定策略

作者:佚名 上传时间:2019-04-07 版权申诉
在windows 2000和windows 2003的活动目录域中,我们只能够在 Default Domain Policy 中为所有用户配置应用一个密码策略和帐户锁定策略,如果我们需要为一些特殊的用户制定不同的密码和帐户锁定策略,我们只能够通过创建新域的方法,因为以前一个域只能够使用一个密码和帐户锁定策略。
Windows Server 2008 ADDS 中新增了一项功能,称为精准密码策略,可以用它在域中定义多个密码策略,并且将它应用到用户或者全局安全组中,注意,不是应用在OU中,要想使用此功能, 我们需要借助ADSIEdit编辑器为域创建Password Settings objects (PSOs),下面来介绍具体的操作:
首先在08DC中打开ADSIEdit编辑器,定位到如下图位置:
在“ CN=Password Settings Container ”节点右键选择新建,在弹出窗口中选择“ msDS-PasswordSettings ”类别,如下图所示:
在紧接的窗口中为新建的Password Settings objects输入一个名称,如下图所示:
在弹出窗口中为 msDS-PasswordSettingsPrecedence 属性设置一个值,该属性为优先级设置,如果域中有多个密码策略直接与用户链接,将应用优先权值最小的策略,如下图所示:
在弹出窗口为 msDS-PasswordReversibleEncryptionEnabled 属性设置一个布尔值,可以设置FALSE / TRUE,该属性在组策略中对应“用可还原的加密来储存密码”设置,在此设置FALSE后单击“下一步”,如下图所示:
在弹出窗口为 msDS-PasswordHistoryLength 属性设置一个值,该属性在组策略中对应“强制密码历史”设置,可用值的范围为0-1024,在此设置后单击“下一步”,如下图所示:
在弹出窗口中为 msDS-PasswordComplexityEnabled 属性设置一个布尔值,可以设置FALSE / TRUE,该属性在组策略中对应“密码必须符合复杂性要求”设置,在此设置为启用,单击“下一步”,如下图所示:
在弹出窗口中为 msDS-MinimumPasswordLength 属性设置一个值,可用值范围为0-255,该属性在组策略中对应“密码长度最小值”设置,在输入框中设定后单击“下一步”,如下图所示:
在弹出窗口中为 msDS-MinimumPasswordAge 属性设置一个值,该属性在组策略中对应“密码最短使用期限”设置,时间格式为“00:00:00:00”,在此设置为1天,1:00:00:00,设置后单击“下一步”,如下图所示:
在弹出窗口中为 msDS-MaximumPasswordAge 属性设置一个值,该属性在组策略中对应“密码最长使用期限”,时间格式同上,设置后单击“下一步”,如下图所示:
在弹出窗口中为 msDS-LockoutThreshold 属性设置一个值,该属性在组策略中对应“帐户锁定阈值”,可用值范围为0-65535,设置后单击“下一步”,如下图所示:
在弹出窗口中为 msDS-LockoutObservationWindow 属性设置一个时间值,格式与前面设置的时间格式一致,该属性在组策略中对应“复位帐户锁定计数器”设置,在此设置为30分钟,设置后单击“下一步”,如下图所示:
在弹出窗口中为 msDS-LockoutDuration 属性设置一个时间值,格式同上,该属性在组策略中对应“帐户锁定时间”设置,设置后单击“下一步”,如下图所示:
在完成窗口中单击“完成”,如下图所示:
至此,一个自定义的密码和帐户锁定策略已经创建完成, 那么如何应用在一些帐户上面呢?我们还需要进行下面几步简单操作...
在上面操作后返回的ADSIEdit中双击刚才创建好的Password Settings objects 对象,在弹出的属性编辑窗口中找到
msDS-PSOAppliesTo 属性,单击“编辑”,如下图所示:
在弹出的窗口中选择应用此Password Settings objects的目标对象,在此选择已经事先创建好的test全局安全组,选择完成后单击“确定”,如下图所示:
到这一步,策略已经应用到上面所选择的组中了,只要是属于test组中的成员就会应用上面所创建的密码和帐户锁定策略,下面来测试一下结果,打开 ADUC,先来测试一个没有属于test组的用户,右击user1帐户,选择重置密码,输入123后单击确定,如下图所示:
从上面截图可以看到user1帐户的密码已经被重置成功,因为之前已经将 Default Domain Policy 设置成禁用密码复杂性和最小密码长度为0,所以可以使用这种简单的密码,现在将user1帐户加入到test组中,如下图所示:
下面再来使用简单的密码来重置一下,截图如下:
可以看到user1加入test组之后立即应用上前面所创建的策略,现在已经不能够使用之前的简单密码策略。












本文转自叶俊坚51CTO博客,原文链接:http://blog.51cto.com/yejunjian/144724 ,如需转载请自行联系原作者



免责申明:文章和图片全部来源于公开网络,如有侵权,请通知删除 server@dude6.com

用户评论
相关推荐
Windows Server 2008
在windows 2000和windows 2003的活动目录域中,我们只能够在 Default Domain Policy 中为所有用户配置应用一个密码策略和帐户锁
Windows Server 2008 多元
在活动目录帐号管理中我们经常为如何才能拥有多个密码策略呢?当然在过去我们所管理的Windows Server 2000或Windows Server 2003版本中,我们为了实现这种
域用
设置域用户帐户策略 从安全和易用考虑,普通域用户的帐户策略必须满足一下要求: u 密码长度至少3位 u 最长使用期限60天 u 密码必须符合复
windows 2008 r2 AD
windows 2008 r2 AD密码 策略 。新装了一台windows 2008 r2 AD。发
Windows Server 2008 R2 之十三颗粒化
对于以前的活动目录只提供一种密码和帐号锁定策略的状态,Windows Server 2008提供更为灵活的Fine GainedPassword(粒化密码策略)。它能够让我们在一个域中指定多个密码策
多元
任务要求 WorldSkills2017.china域里的所有用户密码都要求启用密码复杂性,除了sales组。sales组密码长度要求最少3位。 任务分析
多元
任务要求 WorldSkills2017.china域里的所有用户密码都要求启用密码复杂性,除了sales组。sales组密码长度要求最少3位。 任务分析
windows 2008 本地IP安全
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/chengyi_L/article/details/52484512
更改windows server 2008复杂性要求
在windows server 2008 里变更密码复杂性要求,基本设置和windows server 2003是一样的。具体步骤如下:
Linux如何设
该示例代码演示了如何在Linux中设置用户密码的复杂度策略,包括密码长度、数字、特殊字符和大小写字母的要求。实现方式是通过修改/etc/pam.d/common-password文件中的相关参数来控制
Ubuntu 18.04 LTS
PAM (Pluggable Authentication Modules)
2023-03-18 01:33