Windows2008多元密碼策略實戰篇（上）---Windows2008新功能系列之七

時間 2020-01-09

標籤 windows2008 windows 多元密碼策略實戰功能系列之七欄目 Windows 简体版

原文原文鏈接

對windows2003域環境熟悉的朋友都知道，在這樣的域環境內咱們只能維持一套密碼策略，而windows2008的域環境，爲咱們提供了一個新功能：多元密碼策略或顆粒化密碼策略（Fine-Grained Password Policies），它可讓咱們在一個域環境內實現多套密碼策略。不過在進行實戰以前，咱們還得先講解一些理論。

之前：

2003之前的域環境，咱們能夠經過組策略在域級別上實施密碼策略，通常咱們都是經過編輯「Default Domain Policy 」來實現，以下圖所示：

在這裏不作過多的演示。

注意關鍵點：域級別、組策略。

若是你對相應的OU建立並編輯GPO，設置相應的「密碼策略」，則這個設置只能對該OU內的計算機的本地用戶的密碼策略生效。

如今：

在Windows2008的域環境裏，咱們不但能夠像之前的03域環境同樣，咱們還能夠針對用戶或全局安全組設置相應的用戶密碼策略！這樣就至關於咱們能夠針對不一樣的部門實施不一樣的密碼策略了，固然，你最好把不一樣的部門用戶加入到不一樣的全局組內。這應該不難，爲相應的部門建立OU，異或再建全局組，再把部門用戶賬號加入該全局組，這是咱們推薦的方式。因此你要作的就是針對不一樣的特殊部門組建立密碼策略就能夠了。

這要是在之前，可能麻煩了，也許你就要爲這個部門單首創建一個子域了，即使不建立子域，實現起來也是很複雜的。

注意關鍵點：

應用對象：用戶、全局安全組（而非OU、域）
部署要求：所有DC爲200八、域模式爲win2008。

部署工具：使用ADSIEDIT、LDIFDE、第三方工具（推薦）

咱們能夠針對一個用戶或一個全局組設置多個密碼策略，所以對於優先級的問題：

1. 用戶級別密碼策略>全局組級別密碼策略>域級別密碼策略

2. 同一級別，如用戶，關聯多個PSO（Password-Setting-Object）時，優先（Precedence）值最小的生效！

而最終判斷原則，上述兩點中，先判斷第一點，再判斷第二點。

下面咱們用兩種方法來實現多元密碼策略的配置：

1. 利用ADSIEDIT工具。

2. 利用第三方工具（推薦）。

環境：contoso.com域環境，w08a.contoso.com是DC，咱們的操做就是DC上進行的。