windows 2012 精細化密碼策略管理域用戶(組)

windows 2012 精細化密碼策略管理域用戶(組)

Windows Server 2008平臺中的ActiveDirectory域結構就已經存在「密碼策略」和「賬戶鎖定策略」。可是這還不夠，咱們須要精確到group的密碼策略，那麼就須要運用到以下的技術。

針對不一樣的用戶組別設定不一樣安全級別的密碼策略被稱爲細粒度密碼策略

細粒度的密碼策略在Active Directory管理控制檯執行操做。咱們首先須要在密碼設置容器中建立爲不一樣的對象建立不一樣的FGPP「密碼設置對象（PSO）」。

 

建立PSO:

1.設置對象名稱：配置PSO的名稱。

2.PSO優先級：輸入的PSO優先級值。

3.最小密碼長度：以最小數量的字符密碼。若是指定此值設置爲0，那就是不限長度。

4.記住密碼數量：爲防止新密碼與最近使用密碼相同的措施。

5.密碼必須符合複雜性要求：以肯定是否知足一個複雜的密碼的要求。

注：數字是複雜的密碼（0 .9），小寫字母（A. Z），大寫字母（A. Z）和特殊字符（＃@！等）類別的組合，至少包含以上3類字符的密碼組合。例如，P@ssword，P@ssw0rd

 

6.使用可逆加密存儲密碼：設置數據庫密碼以純文本或者以加密方式存儲。此功能在默認狀況下是禁用的，由於它下降密碼的安全性。啓用此設置，尤爲是在一些應用中驗證應用程序能夠直接讀取數據庫用戶的密碼。

7.強制最短密碼期限：在此時間內用戶不能更改密碼，密碼建立完成後，必須使用一段時間才能修改，換句話說就是，密碼最短使用期限設置。

8. 強制最長密碼期限：用戶必須更改密碼後的日子，決定密碼的最大壽命。在這一時期結束時，用戶將沒法登陸並更改密碼。

9.強制帳戶鎖定策略：輸入錯誤密碼的最小限制

「容許失敗的登陸嘗試的數量」是用戶帳號被鎖定前密碼輸入錯誤幾回。 數值「0」是不正確的輸入，會形成無限數量的賬戶錯誤嘗試輸入可是卻不會引起鎖定的狀況。

「重置失敗登陸計數持續時間」錯誤輸入計數器復位時間

 

建立完成PSO，咱們須要應用到group or user

 

Ok,到這邊咱們就將新建的PSO直接應用於用戶sam

建立完成後，也是能夠修改信息的。右鍵點擊它，「屬性」，或雙擊的設置，就能夠修改現有的PSO。

 

除了在建立PSO的時候直接指定關聯，咱們也能夠在建立完PSO以後，單獨指定user OR group

 

 

查詢數據，選擇一個PSO

 

 

 

點擊確認所作的更改。

 

Ok，到這邊手動關聯成功。

下面咱們來測試如下密碼策略效果：

 

咱們重置一個密碼，輸入123456

 

 

 

 

再次輸入新密碼passw0rd@@@

 

沒有錯誤提示，修改爲功。

 

精細化策略密碼能夠應用於更普遍的域環境和不一樣需求的辦公場合，針對不一樣的安全級別咱們能夠設定不一樣的安全PSO.