900wwj 发表于 2008-12-14 11:22:33

Win

<P>   在Windows 2000和Windows 2003的活动目录域中,我们只能够在Default Domain Policy中为所有用户配置应用一个密码策略和帐户锁定策略,如果我们需要为一些特殊的用户制定不同的密码和帐户锁定策略,我们只能够通过创建新域的方法,因为以前一个域只能够使用一个密码和帐户锁定策略。</P>

<P>  Windows Server 2008 ADDS 中新增了一项功能,称为精准密码策略,可以用它在域中定义多个密码策略,并且将它应用到用户或者全局安全组中,注意,不是应用在OU中,要想使用此功能,我们需要借助ADSIEdit编辑器为域创建Password Settings objects (PSOs),下面来介绍具体的操作:</P>

<P>  首先在08DC中打开ADSIEdit编辑器,定位到如下图位置:</P>

<P>    </P>

<P align=center><IMG alt="" src="/bbs/attachments/computer/20081214/2008121411113384377801.jpg" border=0 twffan="done"></P>

<P><BR>    <BR>    在“CN=Password Settings Container”节点右键选择新建,在弹出窗口中选择“msDS-PasswordSettings”类别,如下图所示:<BR>    <BR>    </P>

<P align=center><IMG height=344 alt="" src="/bbs/attachments/computer/20081214/2008121411113389077802.jpg" width=441 twffan="done"></P>

<P></p><p align='center'><b> 下一页 </b></p> <

                <BR>    <BR>    在紧接的窗口中为新建的Password Settings objects输入一个名称,如下图所示:</P>

<P>    </P>

<P align=center><IMG height=344 alt="" src="/bbs/attachments/computer/20081214/2008121411113445377803.jpg" width=441 twffan="done"></P>

<P>    <BR> 在弹出窗口中为msDS-PasswordSettingsPrecedence属性设置一个值,该属性为优先级设置,如果域中有多个密码策略直接与用户链接,将应用优先权值最小的策略,如下图所示:</P>

<P>    </P>

<P align=center><IMG height=344 alt="" src="/bbs/attachments/computer/20081214/200812141111354677804.jpg" width=441 twffan="done"></P>

<P></p><p align='center'><b>上一页 下一页 </b></p> <

                <BR>    <BR>    在弹出窗口为msDS-PasswordReversibleEncryptionEnabled属性设置一个布尔值,可以设置FALSE / TRUE,该属性在组策略中对应“用可还原的加密来储存密码”设置,在此设置FALSE后单击“下一步”,如下图所示:</P>

<P>    </P>

<P align=center><IMG height=344 alt="" src="/bbs/attachments/computer/20081214/2008121411113514077805.jpg" width=441 twffan="done"></P>

<P>    <BR>    在弹出窗口为msDS-PasswordHistoryLength属性设置一个值,该属性在组策略中对应“强制密码历史”设置,可用值的范围为0-1024,在此设置后单击“下一步”,如下图所示:</P>

<P>    </P>

<P align=center><IMG height=344 alt="" src="/bbs/attachments/computer/20081214/2008121411113514077806.jpg" width=441 twffan="done"></P>

<P></p><p align='center'><b>上一页 下一页 </b></p> <

                <BR>    <BR>    在弹出窗口中为msDS-PasswordComplexityEnabled属性设置一个布尔值,可以设置FALSE / TRUE,该属性在组策略中对应“密码必须符合复杂性要求”设置,在此设置为启用,单击“下一步”,如下图所示:</P>

<P>    </P>

<P align=center><IMG height=344 alt="" src="/bbs/attachments/computer/20081214/2008121411113523477807.jpg" width=441 twffan="done"></P>

<P><BR>    <BR>    在弹出窗口中为msDS-MinimumPasswordLength属性设置一个值,可用值范围为0-255,该属性在组策略中对应“密码长度最小值”设置,在输入框中设定后单击“下一步”,如下图所示:</P>

<P>    </P>

<P align=center><IMG height=344 alt="" src="/bbs/attachments/computer/20081214/2008121411113529677808.jpg" width=441 twffan="done"></P>

<P></p><p align='center'><b>上一页 下一页 </b></p> <

                <BR>    <BR>    在弹出窗口中为msDS-MinimumPasswordAge属性设置一个值,该属性在组策略中对应“密码最短使用期限”设置,时间格式为“00:00:00:00”,在此设置为1天,1:00:00:00,设置后单击“下一步”,如下图所示:</P>

<P>    </P>

<P align=center><IMG height=344 alt="" src="/bbs/attachments/computer/20081214/2008121411113534377809.jpg" width=441 twffan="done"></P>

<P><BR>    <BR>    在弹出窗口中为msDS-MaximumPasswordAge属性设置一个值,该属性在组策略中对应“密码最长使用期限”,时间格式同上,设置后单击“下一步”,如下图所示:<BR>    <BR>    </P>

<P align=center><IMG height=344 alt="" src="/bbs/attachments/computer/20081214/20081214111135390778010.jpg" width=441 twffan="done"></P>

<P></p><p align='center'><b>上一页 下一页 </b></p> <

                <BR>    <BR>    在弹出窗口中为msDS-LockoutThreshold属性设置一个值,该属性在组策略中对应“帐户锁定阈值”,可用值范围为0-65535,设置后单击“下一步”,如下图所示:</P>

<P>    </P>

<P align=center><IMG height=344 alt="" src="/bbs/attachments/computer/20081214/20081214111135437778011.jpg" width=441 twffan="done"></P>

<P><BR>    <BR>    在弹出窗口中为msDS-LockoutObservationWindow属性设置一个时间值,格式与前面设置的时间格式一致,该属性在组策略中对应“复位帐户锁定计数器”设置,在此设置为30分钟,设置后单击“下一步”,如下图所示:</P>

<P>    </P>

<P align=center><IMG height=344 alt="" src="/bbs/attachments/computer/20081214/20081214111135484778012.jpg" width=441 twffan="done"></P>

<P></p><p align='center'><b>上一页 下一页 </b></p> <

                <BR>    <BR>    在弹出窗口中为msDS-LockoutDuration属性设置一个时间值,格式同上,该属性在组策略中对应“帐户锁定时间”设置,设置后单击“下一步”,如下图所示:</P>

<P>   </P>

<P align=center><IMG height=344 alt="" src="/bbs/attachments/computer/20081214/20081214111135546778013.jpg" width=441 twffan="done"></P>

<P>    <BR>    在完成窗口中单击“完成”,如下图所示:</P>

<P>    </P>

<P align=center><IMG height=344 alt="" src="/bbs/attachments/computer/20081214/20081214111136140778014.jpg" width=441 twffan="done"></P>

<P></p><p align='center'><b>上一页 下一页 </b></p> <

                <BR>    <BR>    至此,一个自定义的密码和帐户锁定策略已经创建完成, 那么如何应用在一些帐户上面呢?我们还需要进行下面几步简单操作...</P>

<P>  在上面操作后返回的ADSIEdit中双击刚才创建好的Password Settings objects 对象,在弹出的属性编辑窗口中找到 msDS-PSOAppliesTo属性,单击“编辑”,如下图所示:</P>

<P>    </P>

<P align=center><IMG height=417 alt="" src="/bbs/attachments/computer/20081214/20081214111138343778015.jpg" width=404 twffan="done"></P>

<P><BR>    <BR>    在弹出的窗口中选择应用此Password Settings objects的目标对象,在此选择已经事先创建好的test全局安全组,选择完成后单击“确定”,如下图所示:</P>

<P>    </P>

<P align=center><IMG alt="" src="/bbs/attachments/computer/20081214/20081214111138343778016.jpg" border=0 twffan="done"></P>

<P></p><p align='center'><b>上一页 下一页 </b></p> <

                </P>

<P>   <BR>    到这一步,策略已经应用到上面所选择的组中了,只要是属于test组中的成员就会应用上面所创建的密码和帐户锁定策略,下面来测试一下结果,打开ADUC,先来测试一个没有属于test组的用户,右击user1帐户,选择重置密码,输入123后单击确定,如下图所示:</P>

<P>    <IMG alt="" src="/bbs/attachments/computer/20081214/20081214111138375778017.jpg" border=0 twffan="done"></P>

<P align=center>  <IMG height=138 alt="" src="/bbs/attachments/computer/20081214/20081214111138484778018.jpg" width=230 twffan="done">    <BR>    从上面截图可以看到user1帐户的密码已经被重置成功,因为之前已经将Default Domain Policy设置成禁用密码复杂性和最小密码长度为0,所以可以使用这种简单的密码,现在将user1帐户加入到test组中,如下图所示:</P>

<P>    </P>

<P align=center><IMG alt="" src="/bbs/attachments/computer/20081214/20081214111138578778019.jpg" border=0 twffan="done"></P>

<P></p><p align='center'><b>上一页 下一页 </b></p> <

                </P>

<P>    下面再来使用简单的密码来重置一下,截图如下:<BR>  <BR>    </P>

<P align=center><IMG height=148 alt="" src="/bbs/attachments/computer/20081214/20081214111138578778020.jpg" width=410 twffan="done"></P>

<P><BR>    <BR>    可以看到user1加入test组之后立即应用上前面所创建的策略,现在已经不能够使用之前的简单密码策略。</P></p><p align='center'><b>上一页 </b></p> <
页: [1]
查看完整版本: Win