Active Directory颗粒化密码策略配置

1 多元（颗粒化）密码策略介绍

• 在windows server 2000/2003中，咱们没法针对域用户不一样而设置不一样密码策略，

• 域用户密码策略和帐户设置都 由默认域策略控制，若是要从新创建策略咱们必须建立密码筛选器，若是想部署多元（颗粒化）密码策略，咱们只能使用windows server 2008/windows server 2008R2 AD, 提供了多元密码策略能够在单个域中指定多个密码策略。这使得域管理员组成员能够为域中不一样的用户组建立不一样的密码策略和账户锁定设置。举例来讲，域管理员可以为一个高权限用户组（有着更多的访问特权的用户组）建立一条更严格的密码策略，而为普通用户组应用不太严格的密码策略。

2 注意事项

• 只能被应用到用户对象或者全局安全组

• 没法将多元密码策略直接应用于一个OU之上

• 要对OU中的用户创建多元密码策略，应将密码策略应用于一个全局安全组，（逻辑上映射到 OU的一个用户组，即shadow group影子组）。

• 用户从一个OU移动到另外的OU（为了用户受新移动到的OU上的密码策略控制或是再也不受原来OU的密码策略影响），你必须更新相应影子组的成员身份

3 部署条件

多元密码策略部署要求有如下几点：

• 全部域控制器都必须是Windows Server 2008或更高域功能级别为2008 Domain Functional Mode；

• 客户端无需任何变动；

• 若是一个用户和组有多个密码设置对象（PSO，能够把PSO理解为和组策略对  象GPO相似，通俗的理解为就是一条条的密码策略），那么优先级最小的PSO将最终生效;

• 多元密码策略只能应用于活动目录中的用户和全局安全组，而不能应用于活动目录中的计算机对象、非域内用户和组织单元OU

4 部署方式

• Fine Grain Password Policy Tool

• Adsiedit.MSC工具建立密码配置对象

5 实战部署

• 检查当前AD域功能级别，域功能级别为Windows Server 2012R2.

• 建立全局安全组TestPssword，而且添加组成员

• 使用ADSIedit.msc建立PSO

• msDS-PasswordSettingsPrecedence，设置密码策略的优先级，数值越小优先级越高，设置为"1"

• msDS-PasswordReversibleEncryptionEnabled，设置是否启用"用可还原的加密来存储密码"策略，其值是个布尔值，可选择FALSE或者TRUE，在此咱们设置为"FALSE"

• msDS-PasswordHistoryLength，对应组策略中的"强制密码历史"，可选范围是0-1024，咱们设置为0

• msDS-PasswordComplexityEnabled，对应组策略中的"密码必须符合复杂性要求"，也是一个布尔值，咱们设置为"true"

• msDS-MinimumPasswordLength，设置密码长度最小值为

• msDS-MinimumPasswordAge，设置密码最短使期限为1:00:00:00(1天);注意：格式按照 天:时:分:秒（dd:hh:mm:ss） 来写

• msDS-MaximumPasswordAge，设置密码最常使用期限为90:00:00:00(90天);注意：不能设置为0天，不然最后会报错

• msDS-LockoutThreshold，设置账户锁定阀值为3,表示3次输错后锁定帐户(能够范围0-65535)

• msDS-LockoutObservationWindow，设置复位账户锁定计数器为00:00:30:00(30分钟)

• 设置【重置帐户锁定计数器】为【30】分钟，每一次密码输入错误计数器都会加1，根据上一步的设置，当计数器值为3时帐户锁定，在帐户未被锁定以前，密码输入错误后30分钟内没有再次输错，计数器将会复位到0

• msDS-LockoutDuration，设置账户锁定时间为0:00:30:00(30分钟)。即锁定的帐户将在30分钟后解锁

• 在新建好的testpassword右键属性找到"msDS-PSOAppliesTo"添加安全组testpassword

• 检查默认策略

• 确认后咱们开始测试用户更改密码状况