Windows Server 2008 多元密码策略配置

在活动目录帐号管理中我们经常为如何才能拥有多个密码策略呢？当然在过去我们所管理的Windows Server 2000或Windows Server 2003版本中，我们为了实现这种策略规则，可能就需要创建多个域才能实现。那么这样一来，将会使我们的管理更加复杂，随着Windows Server 2008的出现，这个问题，也被很好地解决，我们可以对不同的安全组匹配不同的密码策略规则，这样一来，我们的管理就将更加的灵活，在这里呢，我就将和大家一起分享如何配置多元密码策略功能。

以下呢就是我们配置多元密码策略功能的步骤：

使用ADSI Edit创建PSO

1) 单击“开始”/“管理工具”/“ADSI编辑器”；

2) 在打开的“ADSI编辑器”窗口中，右键单击“ADSI编辑器”/“连接到”，如下图所示；

3) 在弹出的“连接设置”窗口中，单击“确定”按钮，如下图所示；

4) 在ADSI编辑器窗口中，右键单击“CN=Password Settings Container”/“新建”/“对象”；

5) 在弹出的“创建对像”窗口中，单击“下一步”按钮，如下图所示；

6) 在下图所示的窗口中，输入对象名称“All_test_list”单击“下一步”按钮，如下图所示；

7) 在“msDS-PasswordSettingsPrecedence（优先级）”窗口中，设置值为“1”，单击“下一步”按钮，如下图所示；

8) 在“msDS-PasswordReversibleEncryptionEnabled（用可还原的加密来储存密码）”设置值为“False”，如下图所示；

9) 在“msDS-PasswordHistoryLength（强制密码历史）”窗口中，设置值为“10”，如下图所示；

10) 在“msDS-Password-ComplexityEnabled（密码必须符合复杂性要求）”窗口中设置值为“True”,如下图所示；

11) 在“msDS-MinimumPasswordLength（密码长度最小值）”窗口中，设置值为“8”，如下图所示；

12) 在“msDS-MinimumPasswordAge(密码最短使用期限)”窗口中，设置值为“1:00:00:00”，如下图所示；

13) 在密码“msDS-MaximumPasswordAge（密码最长使用期限）”窗口中，设置值为“42:00:00:00”，如下图所示；

14) 在“msDS-LockoutThreshold（帐户锁定阀值）”窗口，设置值为“10”，如下图所示；

15) 在“msDS-LockoutObservationWindow（重置帐户锁定计数器）”设置值为“0:00:30:00”，如下图所示；

16) 在“msDS-LockoutDuration（帐户锁定时间）”窗口中，设置值为“0:00:30:00”，如下图所示；

17) 在下图所示的窗口中，单击“完成”按钮；

将PSO应用到用户和全局安全组

1) 从ADSI中查询“All_test_list”中的DN值，并复制；

2) 右键单击“All_Test_list”，在弹出的快捷菜单击中，选择“属性“；

3) 在弹出的属性对话框中，双击“msDS-PSOAppliesTo“；

4) 在弹出的“具有安全主体的多值可分辩名称编辑器”中，单击“添加 DN”，如下图所示；

5) 在弹出的“添加可分辨名称(DN)”对话框中，粘贴刚才复制的“All_Test_list”的DN值，单击“确定”按钮；

6) 添加完成后，单击“确定”按钮；

7) 在返回的“All_Test_list”属性对话框中，单击“确定”退出即可；

至此呢，多元密码策略就配置完成了。

本文转自wangtingdong 51CTO博客，原文链接：http://blog.51cto.com/tingdongwang/874696，如需转载请自行联系原作者