最近学习windows server 2008,发现无论是管理员帐户,还是域内其它的帐户,均需要满足密码策略,即需要使用大写,小写与数字三种组合的密码。不得不承认,安全性很强,但是对我们公司的普通用户来说,很麻烦。于是想到了使用Password Settings objects (PSO)来将特定的用户密码设置。

              比如说一些老总,让他们用这么复杂的密码,肯定不方便,现在说详细说一下如何使用PSO策略来设定域内特定的用户的密码策略。

              环境如下:

             1.DC: windows server 2008 R2 enterprise edition X64.     

                name:ad.anet.com

              2.test user accout:  test01@anet.com

             下面进入正式的实验步骤:

            1.登录域DC,新建一个安全的组,名为password,并创建test accout  test01@anet.com,将该帐户加入到password安全组。那我这里设定的密码是大小写和数字组合。我们来尝试一下更改密码为123456,可以看到,不可以更改。

 

如何设置域用户PSO密码策略_密码 

如何设置域用户PSO密码策略_PSO_02 

            2.使用domain admins帐户组的一个帐号登入到域,我这里用的是administrator,然后依次打开“开始”菜单,在运行中输入"adsiedit.msc",然后右键点击"connect to"连接到域控制器,具体操作见下图。

 

如何设置域用户PSO密码策略_用户_03 

如何设置域用户PSO密码策略_休闲_04 

            3.我们依次展开dc=anet,DC=com,选择cn=system这里,将cn=system展开来如何设置域用户PSO密码策略_设置_05 

            4.,找到下面的"cn=password Settings Container"这是一个密码设置容器,我们右键点击这个container,并选择新建object(对象),弹出新建object的对话框,点击下一步。

如何设置域用户PSO密码策略_PSO_06 

如何设置域用户PSO密码策略_用户_07 

            5.在common-name这里随便输入一个名字,我这里写"PS01",然后点击下一步;

如何设置域用户PSO密码策略_密码_08 

            6.下面出现msds-passwordSettingsPrecedence,这里必须输入大于0的数字。我这里输入10,这个选项意思是优先级。

如何设置域用户PSO密码策略_密码_09 

            7.接下来进入msds-passwordReversibleEncryptionEnabled,微软的官方解释意思是Password reversible encryption status for user accounts,中文意思是说帐户密码是否可以可逆加密。输入是或者否,我这里输入FALSE

如何设置域用户PSO密码策略_设置_10 

            8.密码历史长度,输入6;

如何设置域用户PSO密码策略_休闲_11 

            9.密码是否需要满足复杂性,这里选择不需要,布尔型,FALSE;

如何设置域用户PSO密码策略_休闲_12 

             10.密码最少长度,我这里设置为6个长度。

如何设置域用户PSO密码策略_PSO_13 

               11.密码有效时间,格式为XX:XX:XX:XX,即天:小时:分:秒,如1:00:00:00表示的是一天;下面的最长时间也是一样的,我这里设置的是60天,也就是俩个月的密码最长有效时间;

如何设置域用户PSO密码策略_休闲_14 

如何设置域用户PSO密码策略_密码_15 

                12.密码错误次数将会锁定,这里设置为三次;

如何设置域用户PSO密码策略_休闲_16 

             13.下面这个选项,用户多久时间内错误三次会锁定帐户;

如何设置域用户PSO密码策略_PSO_17     

             14.用户帐户三次错误后封锁的时间,即必须等待这个时间后才能再输入密码;这个选项设置以后,按完成即可完成object创建过程。

 如何设置域用户PSO密码策略_用户_18

          15.关闭刚刚的窗口,我们进入到active directory users and computers.点击“查看”--并且将"advanced features"高级功能,选中。

如何设置域用户PSO密码策略_休闲_19 

             16.找到下面的system选项,并将其展开后,找到“password Settings Container”,可以看到右边出现了我们刚刚新建好的PS01这个密码容器。

如何设置域用户PSO密码策略_设置_20 

            17,双击PS01,然后切换到"attribute editor"属性编辑,这个地方,如下图所示:

如何设置域用户PSO密码策略_用户_21 

               18.找到msDS-PSOAppliesTo这个选项,意思是PSO策略应用于,我们双击这里,或者点编辑。

如何设置域用户PSO密码策略_休闲_22 

             19.在添加windows帐户(add windows account)这个地方选择要添加的windows帐户,我们选择刚刚新建好的安全组password安全组,将其添加进去。顺便说一下,这里也可以直接添加你要设定特定密码策略的帐户。

如何设置域用户PSO密码策略_设置_23

如何设置域用户PSO密码策略_设置_24 

          20,好了,我们已经添加进去,点击确定就好了,然后大家可以试试去改一下test01@anet.com这个帐户的密码,可以看到,已经可以改成123456了。

如何设置域用户PSO密码策略_用户_25

 

 好了,今天就写到这里了,第一次写原创文章,可能写得不怎么好,有需要改进的地方,还请大家多多指教。