Active Directory顆粒化密碼策略配置

1 多元（顆粒化）密碼策略介紹

• 在windows server 2000/2003中，咱們沒法針對域用戶不一樣而設置不一樣密碼策略，

• 域用戶密碼策略和帳戶設置都 由默認域策略控制，若是要從新創建策略咱們必須建立密碼篩選器，若是想部署多元（顆粒化）密碼策略，咱們只能使用windows server 2008/windows server 2008R2 AD, 提供了多元密碼策略能夠在單個域中指定多個密碼策略。這使得域管理員組成員能夠爲域中不一樣的用戶組建立不一樣的密碼策略和賬戶鎖定設置。舉例來講，域管理員可以爲一個高權限用戶組（有着更多的訪問特權的用戶組）建立一條更嚴格的密碼策略，而爲普通用戶組應用不太嚴格的密碼策略。

2 注意事項

• 只能被應用到用戶對象或者全局安全組

• 沒法將多元密碼策略直接應用於一個OU之上

• 要對OU中的用戶創建多元密碼策略，應將密碼策略應用於一個全局安全組，（邏輯上映射到 OU的一個用戶組，即shadow group影子組）。

• 用戶從一個OU移動到另外的OU（爲了用戶受新移動到的OU上的密碼策略控制或是再也不受原來OU的密碼策略影響），你必須更新相應影子組的成員身份

3 部署條件

多元密碼策略部署要求有如下幾點：

• 全部域控制器都必須是Windows Server 2008或更高域功能級別爲2008 Domain Functional Mode；

• 客戶端無需任何變動；

• 若是一個用戶和組有多個密碼設置對象（PSO，能夠把PSO理解爲和組策略對  象GPO相似，通俗的理解爲就是一條條的密碼策略），那麼優先級最小的PSO將最終生效;

• 多元密碼策略只能應用於活動目錄中的用戶和全局安全組，而不能應用於活動目錄中的計算機對象、非域內用戶和組織單元OU

4 部署方式

• Fine Grain Password Policy Tool

• Adsiedit.MSC工具建立密碼配置對象

5 實戰部署

• 檢查當前AD域功能級別，域功能級別爲Windows Server 2012R2.

• 建立全局安全組TestPssword，而且添加組成員

• 使用ADSIedit.msc建立PSO

• msDS-PasswordSettingsPrecedence，設置密碼策略的優先級，數值越小優先級越高，設置爲"1"

• msDS-PasswordReversibleEncryptionEnabled，設置是否啓用"用可還原的加密來存儲密碼"策略，其值是個布爾值，可選擇FALSE或者TRUE，在此咱們設置爲"FALSE"

• msDS-PasswordHistoryLength，對應組策略中的"強制密碼歷史"，可選範圍是0-1024，咱們設置爲0

• msDS-PasswordComplexityEnabled，對應組策略中的"密碼必須符合複雜性要求"，也是一個布爾值，咱們設置爲"true"

• msDS-MinimumPasswordLength，設置密碼長度最小值爲

• msDS-MinimumPasswordAge，設置密碼最短使期限爲1:00:00:00(1天);注意：格式按照 天:時:分:秒（dd:hh:mm:ss） 來寫

• msDS-MaximumPasswordAge，設置密碼最常使用期限爲90:00:00:00(90天);注意：不能設置爲0天，不然最後會報錯

• msDS-LockoutThreshold，設置賬戶鎖定閥值爲3,表示3次輸錯後鎖定帳戶(能夠範圍0-65535)

• msDS-LockoutObservationWindow，設置復位賬戶鎖定計數器爲00:00:30:00(30分鐘)

• 設置【重置帳戶鎖定計數器】爲【30】分鐘，每一次密碼輸入錯誤計數器都會加1，根據上一步的設置，當計數器值爲3時帳戶鎖定，在帳戶未被鎖定以前，密碼輸入錯誤後30分鐘內沒有再次輸錯，計數器將會復位到0

• msDS-LockoutDuration，設置賬戶鎖定時間爲0:00:30:00(30分鐘)。即鎖定的帳戶將在30分鐘後解鎖

• 在新建好的testpassword右鍵屬性找到"msDS-PSOAppliesTo"添加安全組testpassword

• 檢查默認策略

• 確認後咱們開始測試用戶更改密碼狀況