windows 2012 精细化密码策略管理域用户(组)

windows 2012 精细化密码策略管理域用户(组)

Windows Server 2008平台中的ActiveDirectory域结构就已经存在“密码策略”和“账户锁定策略”。可是这还不够，咱们须要精确到group的密码策略，那么就须要运用到以下的技术。

针对不一样的用户组别设定不一样安全级别的密码策略被称为细粒度密码策略

细粒度的密码策略在Active Directory管理控制台执行操做。咱们首先须要在密码设置容器中建立为不一样的对象建立不一样的FGPP“密码设置对象（PSO）”。

 

建立PSO:

1.设置对象名称：配置PSO的名称。

2.PSO优先级：输入的PSO优先级值。

3.最小密码长度：以最小数量的字符密码。若是指定此值设置为0，那就是不限长度。

4.记住密码数量：为防止新密码与最近使用密码相同的措施。

5.密码必须符合复杂性要求：以肯定是否知足一个复杂的密码的要求。

注：数字是复杂的密码（0 .9），小写字母（A. Z），大写字母（A. Z）和特殊字符（＃@！等）类别的组合，至少包含以上3类字符的密码组合。例如，P@ssword，P@ssw0rd

 

6.使用可逆加密存储密码：设置数据库密码以纯文本或者以加密方式存储。此功能在默认状况下是禁用的，由于它下降密码的安全性。启用此设置，尤为是在一些应用中验证应用程序能够直接读取数据库用户的密码。

7.强制最短密码期限：在此时间内用户不能更改密码，密码建立完成后，必须使用一段时间才能修改，换句话说就是，密码最短使用期限设置。

8. 强制最长密码期限：用户必须更改密码后的日子，决定密码的最大寿命。在这一时期结束时，用户将没法登陆并更改密码。

9.强制帐户锁定策略：输入错误密码的最小限制

“容许失败的登陆尝试的数量”是用户帐号被锁定前密码输入错误几回。 数值“0”是不正确的输入，会形成无限数量的账户错误尝试输入可是却不会引起锁定的状况。

“重置失败登陆计数持续时间”错误输入计数器复位时间

 

建立完成PSO，咱们须要应用到group or user

 

Ok,到这边咱们就将新建的PSO直接应用于用户sam

建立完成后，也是能够修改信息的。右键点击它，“属性”，或双击的设置，就能够修改现有的PSO。

 

除了在建立PSO的时候直接指定关联，咱们也能够在建立完PSO以后，单独指定user OR group

 

 

查询数据，选择一个PSO

 

 

 

点击确认所作的更改。

 

Ok，到这边手动关联成功。

下面咱们来测试如下密码策略效果：

 

咱们重置一个密码，输入123456

 

 

 

 

再次输入新密码passw0rd@@@

 

没有错误提示，修改为功。

 

精细化策略密码能够应用于更普遍的域环境和不一样需求的办公场合，针对不一样的安全级别咱们能够设定不一样的安全PSO.