Windows2008多元密码策略实战篇(上)---Windows2008新功能系列之七
对windows2003域环境熟悉的朋友都知道,在这样的域环境内咱们只能维持一套密码策略,而windows2008的域环境,为咱们提供了一个新功能:多元密码策略或颗粒化密码策略(Fine-Grained Password Policies),它可让咱们在一个域环境内实现多套密码策略。不过在进行实战以前,咱们还得先讲解一些理论。
之前:
2003之前的域环境,咱们能够经过组策略在域级别上实施密码策略,通常咱们都是经过编辑“Default Domain Policy
” 来实现,以下图所示:
在这里不作过多的演示。
注意关键点:域级别、组策略。
若是你对相应的OU建立并编辑GPO,设置相应的“密码策略”,则这个设置只能对该OU内的计算机的本地用户的密码策略生效。
如今:
在Windows2008的域环境里,咱们不但能够像之前的03域环境同样,咱们还能够针对用户或全局安全组设置相应的用户密码策略!这样就至关于咱们能够针对不一样的部门实施不一样的密码策略了,固然,你最好把不一样的部门用户加入到不一样的全局组内。这应该不难,为相应的部门建立OU,异或再建全局组,再把部门用户账号加入该全局组,这是咱们推荐的方式。因此你要作的就是针对不一样的特殊部门组建立密码策略就能够了。
这要是在之前,可能麻烦了,也许你就要为这个部门单首创建一个子域了,即使不建立子域,实现起来也是很复杂的。
注意关键点:
应用对象:用户、全局安全组(而非OU、域)
部署要求:所有DC为200八、域模式为win2008。
部署要求:所有DC为200八、域模式为win2008。
部署工具:使用ADSIEDIT、LDIFDE、第三方工具(推荐)
咱们能够针对一个用户或一个全局组设置多个密码策略,所以对于优先级的问题:
1. 用户级别密码策略>全局组级别密码策略>域级别密码策略
2. 同一级别,如用户,关联多个PSO(Password-Setting-Object)时,优先(Precedence)值最小的生效!
而最终判断原则,上述两点中,先判断第一点,再判断第二点。
下面咱们用两种方法来实现多元密码策略的配置:
1. 利用ADSIEDIT工具。
2. 利用第三方工具(推荐)。
环境:contoso.com域环境,w08a.contoso.com是DC,咱们的操做就是DC上进行的。
1、使用ADSIEDIT配置多元密码策略:
三个步骤:
(一)使用ADSIEDIT建立密码设置对象(PSO)
(二)针对用户或组应用PSO
(三) 验证用户的PSO应用
(一)使用ADSIEDIT建立密码设置对象(PSO)
(二)针对用户或组应用PSO
(三) 验证用户的PSO应用
分步解析:
(一)使用ADSIEDIT建立密码设置对象(PSO)
开始--搜索-输入adsiedit.msc后,以下所示:
单击链接后,以下图:
保持默认,单击“肯定”以下图所示,找到对应的PSC,在其上右击,选择新建对象,以下:
下图中,咱们为PSO取一个名字:
下图是
设置优先值,在这里值越小,越优先!!
下图是设置“是否用可还原的加密来存储密码”,咱们选择否。
下图是密码历史,咱们选择3次。
下图是“选择是否启用密码复杂性”,咱们选择否。
下图是“最小密码长度”,咱们选择8,即最短8个字符长度。
下图是“密码最短使用期限”,咱们选择一天。但格式必须是d:h:m:s(天:小时:分:秒)。
下图是“密码最长使用期限”,格式同上。
下图是“密码锁定阈值”,咱们设置5次输错就锁住。
下图是“复位账户记数器”的时间,咱们设置20分钟后,计数器清0,格式D:H:M:S。
下图是“密码锁定时间”,咱们也设置20分钟,即20分钟后解锁。
最后以下图所示:若是单击完成,出现错误,能够有针对性的修改,通常出错,每每是前面输入格式有问题,能够回退修改便可。
咱们刚才所建立的PSO以下所示, 咱们能够在其上右击,选择属性,对其上设置进行二次修改,或添加相关联的用户或全局安全组。
(二)针对用户或组应用PSO:
如上图所示,单击“属性”后,并添加相应的用户或全局安全组,以下:
选择如上图所示的属性后,单击“编辑”,以下图并添加相应的HR全局组。最后单击肯定完成全局组的添加, 在这里也能够添加用户。此处就略了。
(三)验证用户的PSO应用:
咱们修改这个HR组的用户jack的密码,以下图所示过程:
上图是由于我输入的密码长度过短形成的(不知足本策略的8位),固然细心的朋友能够看到了(本文第一图)我把域的密码策略的密码长度改为了0(不限长度),所以这个提示是由于咱们刚才所建立的策略所致。
小结:
你能够针对不一样的用户或全局组建立你所须要的密码策略,使之真正的为企业服务,从而提升企业的安全性。
要下班了,
下篇我会给各位分享利用第三方工具来实现“多元密码策略的配置”,这个是个人着力推荐的,并且实现起来相应快捷简单!敬请关注!~
相关文章
- 1. Windows2008多元密码策略实战篇(下)---Windows2008新功能系列之八
- 2. windows2008部署服务之批量部署WinxpSp3---Windows2008新功能系列之六
- 3. 实现离线加域---Windows2008 R2 新功能系列之八
- 4. 高级安全Windows防火墙(上)之IPSec --- Windows2008新功能系列之三
- 5. Windows Server 2012 R2多元密码PSO策略实战篇
- 6. Windows2008之×××知多少
- 7. Server Core的安装和配置(上)--- Windows2008新功能系列之一
- 8. 多元密码策略
- 9. windows2008 组策略的简单应用
- 10. DNS中GlobalNames区域图解使用---Windows2008新功能系列之五
- 更多相关文章...
- • MySQL 5.7的新特性(新功能) - MySQL教程
- • Redis内存回收策略 - Redis教程
- • Docker容器实战(七) - 容器眼光下的文件系统
- • Java Agent入门实战(二)-Instrumentation源码概述
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. Windows2008多元密码策略实战篇(下)---Windows2008新功能系列之八
- 2. windows2008部署服务之批量部署WinxpSp3---Windows2008新功能系列之六
- 3. 实现离线加域---Windows2008 R2 新功能系列之八
- 4. 高级安全Windows防火墙(上)之IPSec --- Windows2008新功能系列之三
- 5. Windows Server 2012 R2多元密码PSO策略实战篇
- 6. Windows2008之×××知多少
- 7. Server Core的安装和配置(上)--- Windows2008新功能系列之一
- 8. 多元密码策略
- 9. windows2008 组策略的简单应用
- 10. DNS中GlobalNames区域图解使用---Windows2008新功能系列之五