译者语:在上篇活动目录域服务审核,我们看到了Windows Server 2008 AD DS上有了更多更细的审核项,进一步增强了安全性。本篇我们继续看看Windows Server 2008 AD DS中又一个很有实用价值的新特性,多元密码策略(也被译作:有细粒度的密码策略)
====================================================
 
在Windows Server 2000和Windows Server 2003中,针对域用户的密码策略和帐户锁定设置都由默认域策略控制着。若要为特定的用户组创建不同的密码策略或者帐户锁定设置就必须创建另外的域或者创建密码筛选器。在Windows Server 2008 AD DS中,提供了多元密码策略可以在单个域中指定多个密码策略。这使得域管理员组成员可以为域中不同的用户组创建不同的密码策略和帐户锁定设置。举例来说,域管理员能够为一个高权限用户组(有着更多的访问特权的用户组)创建一条更严格的密码策略,而为普通用户组应用不太严格的密码策略。
Windows Server 2008中多元密码策略只能被应用到用户对象或者全局安全组。你无法将多元密码策略直接应用于一个OU之上。若要对OU中的用户建立多元密码策略,应将密码策略应用于一个全局安全组(逻辑上映射到 OU的一个用户组,即shadow group影子组)。如果将用户从一个OU移动到另外的OU(为了用户受新移动到的OU上的密码策略控制或是不再受原来OU的密码策略影响),你必须更新相应影子组的成员身份。
 
多元密码策略的存储
为了储存多元密码策略,有两个新的对象类在AD DS架构中被创建出来:密码设置容器(PSC)和密码设置。在PSC中存储有密码设置对象(PSOs)。默认情况PSC建立在域中的系统容器下,并且它无法被移动,重命名或是删除。PSO 具有可以在默认域策略中定义的所有设置(Kerberos 设置除外)的属性。这些设置包括以下密码设置的属性:
■ 强制密码历史
■ 最长密码期限
■ 最短密码期限
■ 最短密码长度
■ 密码必须符合复杂性要求
■ 用可还原的加密来存储密码
这些设置还包括一下帐户锁定设置的属性:
■ 帐户锁定时间
■ 帐户锁定阈值
■ 重设帐户锁定计数器的时间间隔
此外,PSO还具有以下两个新的属性:
■ PSO链接 这是链接到用户和(或者)组对象的多值属性。
■ 优先 这是一个整数值,在将多个PSO应用到用户或组对象时,该值可用来解决冲突。
 
备注:在向现有 Active Directory 域中添加运行 Windows Server 2008 的域控制器之前,必须运行 Adprep来扩展域架构以包含多元密码策略所需的对象类。更多的关于Adprep命令行工具的信息请见第六章“建立活动目录域服务”,此外请参考“Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration”,http://technet2.microsoft.com/windowsserver2008/en/library/2199dcf7-68fd-4315-87cc-ade35f8978ea1033.mspx.
 
多元密码策略的策略结果集(Resultant Set of Policy for Fine-Grained Password Policy)
多元密码策略设置可以被应用到用户和全局安全组上,但只能为用户对象计算策略结果集(RSOP)。如果多个PSO被链接到用户或组,则按以下方式确定应用的结果 PSO:
1. 直接链接到用户对象的PSO就是最终结果PSO。如果超过一个PSO被直接链接到用户对象上,则在日志中会记录警告信息,并且具有最低优先值的PSO为结果PSO。
2. 如果没有 PSO 直接链接到用户对象或用户的全局安全组成员身份,则比较根据这些全局组成员身份适用于用户的所有 PSO。优先值最低的 PSO 为结果 PSO。(如果有多个PSO最低优先值一样,那么PSO的GUID将决定谁最终被应用。)
3. 如果没有从条件 (1) 和 (2) 中获得 PSO,则应用默认域策略。
有三处直接应用在用户对象上的设置总是会覆盖通过多元密码策略获得的设置。你可以在用户对象的用户帐号控制(userAccountControl)属性中设置这些位:
■ 需要可逆密码加密
■ 不需要密码
■ 密码永不过期
这些位继续覆盖应用于用户对象的结果 PSO 中的设置(和这些位覆盖 Windows 2000 和 Windows Server 2003 中默认域策略中的设置一样)。
 
====================================================
 
本文译自《Windows Server 2008 Active Directory Resource Kit》
部分翻译内容参考微软technet知识库:http://technet.microsoft.com/en-us/library/cc770946(WS.10).aspx