在域中配置多元密码策略

任务要求

WorldSkills2017.china域里的全部用户密码都要求启用密码复杂性，除了sales组。sales组密码长度要求最少3位。

任务分析

世赛的难度仍是比较大的，每一道题目虽然只有短短几句话，但却暗藏着一个巨大的坑，这道题目就是典型。
在默认的域策略Default Domain Policy里，自己已经启用了密码复杂性，题目要求对某个组再设置单独的密码策略，起初本能的想到对这个组单独设置组策略，但细究下去却发现，若是使用组策略，那么是不管如何也完成不了这个任务的。
百度了一番才知道，原来从Windows Server 2008系统开始，在域中引入了多元密码策略(Fine-Grained Password Policy)的概念，经过多元密码策略容许针对不一样用户或全局安全组应用不一样的密码策略，而这正是解开这道题目的正确钥匙。
在Windows Server 2008以前的系统中，密码策略只能指派到域或站点上，不能单独应用于活动目录中的对象。换句话说，密码策略在域级别起做用，并且一个域只能有一套密码策略。统一的密码策略虽然大大提升了安全性，可是提升了域用户使用的复杂度。举个例子来讲，企业管理员的账户安全性要求很高，须要超强策略，好比密码须要必定长度、须要每两周更改管理员密码并且不能使用上几回的密码；可是普通的域用户并不须要如此高的密码策略，也不但愿常常更改密码或是使用很长的密码，超强的密码策略并不适合他们。
为解决这个问题，在Windows Server 2008中引入了多元密码策略，从而知足不一样用户对于安全性的不一样要求。
多元密码策略部署要求有如下几点：
A. 必须把域功能级别提高为windows Server 2008以上；
B. 若是一个用户和组有多个密码设置对象PSO（能够把PSO理解为和组策略对象GPO相似，通俗的理解为就是一条条的密码策略），那么优先级最小的PSO将最终生效;
C. 多元密码策略只能够应用在用户与安全组上，不能应用到计算机上，同时也不能直接应用到OU上。

任务实现

要实现多元密码策略，主要是经过ADSI编辑器。打开ADSI编辑器，按照如图所示展开至CN=Password Settings Container，并在上面右击，选择新建对象。

而后出现新建对象窗口，类别只有一个密码设置，点击下一步

接下来为PSO取个有意义的名字，便于本身管理。

接下来修改msDS-PasswordSettingsPrecedence属性，设置密码的优先级，数值越小，优先级越高，这里设为1。

接下来修改msDS-PasswordReversibleEncryptionEnabled属性，可接受输入的值为false/true。这项属性用于设置是否启用密码可还原加密功能，开启后能够用工具逆向还原出用户的密码，若是没有特殊需求，建议设置为false。

接下来修改msDS-PasswordHistoryLength属性，即强制密码历史，默认是24个，由于题目并无明确要求，这里随意设置为3个历史密码不能重复。

接下来修改msDS-PasswordComplexityEnabled属性，便是否启用密码复杂性要求，这里设为false。

接下来修改msDS-MinimumPasswordLength属性，设置最短密码长度，这里按题目要求设置为3。

接下来修改msDS-MinimumPasswordAge属性，设置密码最短使用期限，要求输入格式为00:00:00:00，这4段分别表示“天、小时、分、秒”，并且只能够输入1天的整数倍，默认是使用1天后才能再次更改密码。这里输入00:00:00:00，也就是能够当即更改密码。

接下来修改msDS-MaximumPasswordAge属性，设置密码最长使用期限，默认是42天，这里采用默认值。

接下来修改msDS-LockoutThreshold 属性，即用户账户的锁定阈值，默认没有限制，这里设置为输入3次错误密码就自动锁定。

接下来修改msDS-LockoutObservationWindow属性，即多长时间复位账户锁定计数器，这里设置为30分钟后复位。

接下来修改msDS-LockoutDuration属性，也就是设置锁定用户账户的持续时间，这里输入锁定30分钟，须要注意此项数值必定要大于等于msDS-LockoutObservationWindow属性的数值。

点击下一步以后，PSO建立完成。

编辑完成后，打开属性编辑器，找到msDS-PSOAppliesTo属性，经过该属性能够设置将PSO应用到哪些用户或是组。

设置属性，添加sales组。

至此配置完成，而且能够当即生效。尝试为sales组中的用户重置密码，能够成功设置长度为3位的密码了。