最近学习windows server 2008,发现无论是管理员帐户,还是域内其它的帐户,均需要满足密码策略,即需要使用大写,小写与数字三种组合的密码。不得不承认,安全性很强,但是对我们公司的普通用户来说,很麻烦。于是想到了使用Password Settings objects (PSO)来将特定的用户密码设置。
比如说一些老总,让他们用这么复杂的密码,肯定不方便,现在说详细说一下如何使用PSO策略来设定域内特定的用户的密码策略。
环境如下:
1.DC: windows server 2008 R2 enterprise edition X64.
name:ad.anet.com
2.test user accout: test01@anet.com
下面进入正式的实验步骤:
1.登录域DC,新建一个安全的组,名为password,并创建test accout test01@anet.com,将该帐户加入到password安全组。那我这里设定的密码是大小写和数字组合。我们来尝试一下更改密码为123456,可以看到,不可以更改。
2.使用domain admins帐户组的一个帐号登入到域,我这里用的是administrator,然后依次打开“开始”菜单,在运行中输入"adsiedit.msc",然后右键点击"connect to"连接到域控制器,具体操作见下图。
3.我们依次展开dc=anet,DC=com,选择cn=system这里,将cn=system展开来
4.,找到下面的"cn=password Settings Container"这是一个密码设置容器,我们右键点击这个container,并选择新建object(对象),弹出新建object的对话框,点击下一步。
5.在common-name这里随便输入一个名字,我这里写"PS01",然后点击下一步;
6.下面出现msds-passwordSettingsPrecedence,这里必须输入大于0的数字。我这里输入10,这个选项意思是优先级。
7.接下来进入msds-passwordReversibleEncryptionEnabled,微软的官方解释意思是Password reversible encryption status for user accounts,中文意思是说帐户密码是否可以可逆加密。输入是或者否,我这里输入FALSE
8.密码历史长度,输入6;
9.密码是否需要满足复杂性,这里选择不需要,布尔型,FALSE;
10.密码最少长度,我这里设置为6个长度。
11.密码有效时间,格式为XX:XX:XX:XX,即天:小时:分:秒,如1:00:00:00表示的是一天;下面的最长时间也是一样的,我这里设置的是60天,也就是俩个月的密码最长有效时间;
12.密码错误次数将会锁定,这里设置为三次;
13.下面这个选项,用户多久时间内错误三次会锁定帐户;
14.用户帐户三次错误后封锁的时间,即必须等待这个时间后才能再输入密码;这个选项设置以后,按完成即可完成object创建过程。
15.关闭刚刚的窗口,我们进入到active directory users and computers.点击“查看”--并且将"advanced features"高级功能,选中。
16.找到下面的system选项,并将其展开后,找到“password Settings Container”,可以看到右边出现了我们刚刚新建好的PS01这个密码容器。
17,双击PS01,然后切换到"attribute editor"属性编辑,这个地方,如下图所示:
18.找到msDS-PSOAppliesTo这个选项,意思是PSO策略应用于,我们双击这里,或者点编辑。
19.在添加windows帐户(add windows account)这个地方选择要添加的windows帐户,我们选择刚刚新建好的安全组password安全组,将其添加进去。顺便说一下,这里也可以直接添加你要设定特定密码策略的帐户。
20,好了,我们已经添加进去,点击确定就好了,然后大家可以试试去改一下test01@anet.com这个帐户的密码,可以看到,已经可以改成123456了。
好了,今天就写到这里了,第一次写原创文章,可能写得不怎么好,有需要改进的地方,还请大家多多指教。