在域中配置多元密碼策略

任務要求

WorldSkills2017.china域裏的全部用戶密碼都要求啓用密碼複雜性，除了sales組。sales組密碼長度要求最少3位。

任務分析

世賽的難度仍是比較大的，每一道題目雖然只有短短几句話，但卻暗藏着一個巨大的坑，這道題目就是典型。
在默認的域策略Default Domain Policy裏，自己已經啓用了密碼複雜性，題目要求對某個組再設置單獨的密碼策略，起初本能的想到對這個組單獨設置組策略，但細究下去卻發現，若是使用組策略，那麼是不管如何也完成不了這個任務的。
百度了一番才知道，原來從Windows Server 2008系統開始，在域中引入了多元密碼策略(Fine-Grained Password Policy)的概念，經過多元密碼策略容許針對不一樣用戶或全局安全組應用不一樣的密碼策略，而這正是解開這道題目的正確鑰匙。
在Windows Server 2008以前的系統中，密碼策略只能指派到域或站點上，不能單獨應用於活動目錄中的對象。換句話說，密碼策略在域級別起做用，並且一個域只能有一套密碼策略。統一的密碼策略雖然大大提升了安全性，可是提升了域用戶使用的複雜度。舉個例子來講，企業管理員的賬戶安全性要求很高，須要超強策略，好比密碼須要必定長度、須要每兩週更改管理員密碼並且不能使用上幾回的密碼；可是普通的域用戶並不須要如此高的密碼策略，也不但願常常更改密碼或是使用很長的密碼，超強的密碼策略並不適合他們。
爲解決這個問題，在Windows Server 2008中引入了多元密碼策略，從而知足不一樣用戶對於安全性的不一樣要求。
多元密碼策略部署要求有如下幾點：
A. 必須把域功能級別提高爲windows Server 2008以上；
B. 若是一個用戶和組有多個密碼設置對象PSO（能夠把PSO理解爲和組策略對象GPO相似，通俗的理解爲就是一條條的密碼策略），那麼優先級最小的PSO將最終生效;
C. 多元密碼策略只能夠應用在用戶與安全組上，不能應用到計算機上，同時也不能直接應用到OU上。

任務實現

要實現多元密碼策略，主要是經過ADSI編輯器。打開ADSI編輯器，按照如圖所示展開至CN=Password Settings Container，並在上面右擊，選擇新建對象。

而後出現新建對象窗口，類別只有一個密碼設置，點擊下一步

接下來爲PSO取個有意義的名字，便於本身管理。

接下來修改msDS-PasswordSettingsPrecedence屬性，設置密碼的優先級，數值越小，優先級越高，這裏設爲1。

接下來修改msDS-PasswordReversibleEncryptionEnabled屬性，可接受輸入的值爲false/true。這項屬性用於設置是否啓用密碼可還原加密功能，開啓後能夠用工具逆向還原出用戶的密碼，若是沒有特殊需求，建議設置爲false。

接下來修改msDS-PasswordHistoryLength屬性，即強制密碼歷史，默認是24個，由於題目並無明確要求，這裏隨意設置爲3個歷史密碼不能重複。

接下來修改msDS-PasswordComplexityEnabled屬性，便是否啓用密碼複雜性要求，這裏設爲false。

接下來修改msDS-MinimumPasswordLength屬性，設置最短密碼長度，這裏按題目要求設置爲3。

接下來修改msDS-MinimumPasswordAge屬性，設置密碼最短使用期限，要求輸入格式爲00:00:00:00，這4段分別表示「天、小時、分、秒」，並且只能夠輸入1天的整數倍，默認是使用1天后才能再次更改密碼。這裏輸入00:00:00:00，也就是能夠當即更改密碼。

接下來修改msDS-MaximumPasswordAge屬性，設置密碼最長使用期限，默認是42天，這裏採用默認值。

接下來修改msDS-LockoutThreshold 屬性，即用戶賬戶的鎖定閾值，默認沒有限制，這裏設置爲輸入3次錯誤密碼就自動鎖定。

接下來修改msDS-LockoutObservationWindow屬性，即多長時間復位賬戶鎖定計數器，這裏設置爲30分鐘後復位。

接下來修改msDS-LockoutDuration屬性，也就是設置鎖定用戶賬戶的持續時間，這裏輸入鎖定30分鐘，須要注意此項數值必定要大於等於msDS-LockoutObservationWindow屬性的數值。

點擊下一步以後，PSO建立完成。

編輯完成後，打開屬性編輯器，找到msDS-PSOAppliesTo屬性，經過該屬性能夠設置將PSO應用到哪些用戶或是組。

設置屬性，添加sales組。

至此配置完成，而且能夠當即生效。嘗試爲sales組中的用戶重置密碼，能夠成功設置長度爲3位的密碼了。