AD多元密码策略

u 案例需求

在同一个域中针对不同用户实施不同的密码策略。

u 知识提示

在Windows域中,管理员通常都会通过组策略来部署密码策略,用来加强用户帐户的安全性,但是在Windows Server 2003及其之前版本的活动目录中,在一个域中只能有一套密码策略。在通常情况下,管理员账户和普通员工账户不适合使用统一的密码策略,比如普通员工账户适合于每个月更改一次密码,但管理员账户并不适合每个月更改一次密码;管理员账户密码通常也会比普通员工账户密码更加复杂,这同样也不适合于普通员工帐户。

为了解决这个问题,在Windows Server 2008中引入了多元密码策略,该策略允许针对不同用户或全局安全组应用不同的密码策略。

在部署多元密码策略的时候,要求所有域控制器都是Windows Server 2008,而且当前域功能级别必须为Windows Server 2008。

部署多元密码策略,需要使用ADSI Edit工具,具体操作步骤如下。

(1)在AD用户和计算机管理工具中创建OU,名为Admins,在OU中新建名为Admin_group的全局安全组,然后将用户“zhangsan”加入到该组,如图3.1所示。

AD域ldap账号密码怎么设置_Windows

图3.1 创建组

(2)在域控制器上的管理工具中打开“ADSI Edit”管理工具,右击“ADSI Edit”,在弹出的菜单中选择“连接到”命令,如图3.2所示。

AD域ldap账号密码怎么设置_Server_02

图3.2 打开ADSI Edit管理工具

(3)在“连接设置”窗口中选择连接点,选择一个已知命名上下文为“默认命名上下文”,然后单击“确定”按钮,如图3.3所示。

AD域ldap账号密码怎么设置_AD域ldap账号密码怎么设置_03

图3.3 连接设置

(4)双击右侧窗口中的“默认命名上下文”,然后依次展开节点“DC”→“CN=System”→“CN=Password Settings Container”,右击“CN=Password Settings Container”,在弹出的菜单中依次选择“新建”→“对象”命令,如图3.4所示。

AD域ldap账号密码怎么设置_Windows_04

图3.4新建对象

(5)在“创建对象”窗口中直接单击“下一步”按钮,如图3.5所示。

AD域ldap账号密码怎么设置_Windows_05

图3.5 创建对象(1)

(6)在如图3.6所示窗口中输入一个有意义的值,便于管理,然后单击“下一步”按钮。

AD域ldap账号密码怎么设置_Windows_06

图3.6 创建对象(2)

(7)在如图3.7所示窗口中设置该密码策略的优先级。数值越小,优先级则越高,数值必须大于0才生效,在此输入1,然后单击“下一步”按钮。

AD域ldap账号密码怎么设置_Server_07

图3.7 创建对象(3)

(8)在如图3.8所示窗口中设置用户密码是否可还原,如果启用可以使用工具逆向推测出用户密码。此处可输入的值为“TRUE/FALSE”,建议设置为“FALSE”,单击“下一步”按钮。

AD域ldap账号密码怎么设置_Server_08

图3.8创建对象(4)

(9)在如图3.9所示窗口中设置密码历史记录,可以输入的值为0—1024,默认为24个,在此设置为“3”,单击“下一步”按钮。

AD域ldap账号密码怎么设置_AD域ldap账号密码怎么设置_09

图3.9 创建对象(5)

(10)在如图3.10所示窗口中设置密码复杂度,此处可输入的值为“TRUE/FALSE”,建议设置为“TRUE”,单击“下一步”按钮。

AD域ldap账号密码怎么设置_创建对象_10

图3.10 创建对象(6)

(11)在如图3.11所示窗口中设置密码长度最小值,此处可输入的值为0--255,在此设置为“16”,单击“下一步”按钮。

AD域ldap账号密码怎么设置_Server_11

图3.11 创建对象(7)

(12)在如图3.12所示窗口中设置密码最短使用期限,此处可输入值的格式为00:00:00:00,含义为天:小时:分:秒。在此设置为“00:00:00:00”,表示可以立即更改密码,单击“下一步”按钮。

AD域ldap账号密码怎么设置_AD域ldap账号密码怎么设置_12

图3.12 创建对象(8)

(13)在如图3.13所示窗口中设置密码最长使用期限,此处可设置的时间格式和上一步中的时间格式相同。在此设置值为 “180:00:00:00”,单击“下一步”按钮。

AD域ldap账号密码怎么设置_创建对象_13

图3.13 创建对象(9)

(14)在如图3.14所示窗口中设置账户锁定阀值,此处可输入的值为0—65535,在此设置为3,单击“下一步”按钮。

AD域ldap账号密码怎么设置_AD域ldap账号密码怎么设置_14

图3.14创建对象(10)

(15)在如图3.15所示窗口中设置复位账户锁定计数器的时间,在此设置为“00:00:30:00”,单击“下一步”按钮。

AD域ldap账号密码怎么设置_Server_15

图3.15创建对象(11)

(16)在如图3.16所示窗口中设置账户锁定时间,在此设置为“00:00:30:00”,单击“下一步”按钮。

AD域ldap账号密码怎么设置_AD域ldap账号密码怎么设置_16

图3.16创建对象(12)

(17)在如图3.17所示窗口中先不要单击“完成”按钮,单击“更多属性”按钮。

AD域ldap账号密码怎么设置_Server_17

图3.17 创建对象(13)

(18)在如图3.18所示窗口中选择要查看的属性为“msDS-PSOAppliesTo”,用来将此密码策略连接到所应用的对象,只能够链接到用户或全局安全组。在此连接到在前面创建的Admin_group组,在编辑属性框中按图3.18中的格式输入后,单击“添加”按钮即可。

AD域ldap账号密码怎么设置_Server_18

图3.18 创建对象(14)

至此就完成了密码策略的创建,在如图3.19中可以看到刚刚创建的密码策略对象。

AD域ldap账号密码怎么设置_创建对象_19

图3.19 查看密码策略对象

最策略对象链接到安全组后,密码策略可以立即生效,使用如下命令可以查看当前用户所应用的密码策略,如图3.20所示,Admingroup就是刚刚在ADSI Edit工具中创建的组策略对象。 

dsget user "cn=zhangsan,ou=admins,dc=benet,dc=com" -effectivepso

AD域ldap账号密码怎么设置_Server_20

图3.20 查看用户密码策略


转载于:https://blog.51cto.com/luwenjuan/1720874