Windows Server 2008 R2 之十三颗粒化密码策略

简介:
对于以前的活动目录只提供一种密码和帐号锁定策略的状态,Windows Server 2008提供更为灵活的Fine Gained Password(粒化密码策略)。它能够让我们在一个域中指定多个密码策略,能够使用Fine-grained 密码策略来将不同的密码和账号锁定策略应用到域中不同集合的用户。
  要存储Fine-grained 密码策略,Windows Server 2008 在活动目录目录服务架构中包含了两个新的对象:
  1、Password Settings Container(密码设置容器)
  2、Password Settings(密码设置)
  Password Settings Container (PSC)在缺省情况下被创建在域的System 容器中。可以通过活动目录用户和计算机管理工具,选种高级特性选项来查看它。它存储域的Password Settings objects (PSOs) 。
  我们不能重命名、移动或删除该容器。尽管您可以创建额外的自定义的PSCs ,它们不会被考虑当策略的结果集在计算对象的时候。因此,这也不是推荐的做法。
  PSO 的属性的设置能够在Default Domain Policy(除Kerberos设置外)中设置。这些设置包括下面这些密码设置属性:
  1、 Enforce password history(强制密码历史)
  2、 Maximum password age(密码最长使用期限)
  3、 Minimum password age(密码最短使用期限)
  4、 Minimum password length(密码最短长度)
  5、 Passwords must meet complexity requirements(密码必须符合复杂性)
  6、 Store passwords using reversible encryption(用可还原的加密来储存密码)
  这些设置也包含下面这些账号锁定设置属性:
  1、 Account lockout duration(密码锁定时间)
  2、 Account lockout threshold(密码锁定阀值)
  3、 Reset account lockout after(复位帐号锁定计算器)
  此外,PSO还有下面两个新的属性:
     1、PSO link(PSO链接)。这是一个多值属性,它可以被链接到用户或组对象上。
  2、Precedence(优先)。 这是一整数值,用来解决冲突,如果多个PSO 被应用到一个用户或组对象上。
  这九个属性是mustHave 属性。意思是您必须为每个属性定义一个值。来自多个PSO 的设置不能被合并。
  定义fine-grained 密码策略的范围
  PSO 能够被链接到和PSO位于同一个域的用户(或inetOrgPerson)或组对象。
    PSO 有一个名称为msDS-PSOAppliesTo 的属性,它包含了只到用户或组的正向链接。msDS-PSOAppliesTo 属性是多值的,它意味着您能够将一个PSO应用到多个用户或组。您能够创建一个密码策略并将它应用到不同集合的用户或组。
  
部署要求:
       域中所有的DC必须为Windows Server 2008 或R2
       域功能级别必为Windows Server 2008之上功能级别
        须使用ADSIEDIT,LDUFDE等进行管理
        当一个用户链接有多个对象时,优先级别数字越小,越优先
实验环境:
在Win2008R2CNDC这台DC上操作完成
 
实验要求:
检查提升域功能级别
建立测试用的全局安全组和用户
使用ADSIedit.msc创建PSO
使用第三方工具Fine Grain Password Policy Tool Beta 2创建PSO
验证用户的PSO应用
 
实验步骤:
一、检查提升域功能级别
二、建立测试用的全局安全组TestGroup和用户TestUser,并将TestUser加入到TestGroup
三、使用ADSIedit.msc创建PSO
运行ADSIedit.msc, 如下图进行操作
四、使用第三方工具Fine Grain Password Policy Tool Beta 2创建PSO
相对于使用Adsiedit.msc建立PSO的方法,Fine Grain Password Policy Tool Beta 2提供了更为直观方便快捷的图形用户操作界面,同时它能很直观查看对象策略结果。
1、安装
Fine Grain Password Policy Tool Beta 2分为X64和X86两个版本,安装过程略
2、设置
运行MMC,添加Fine Grain Password Policy Tool管理单元
五、验证用户的PSO应用
可以通过活动目录用户和计算机,右击TESTUSER,选择更改密码,观察是否生效。





















本文转自ycrsjxy51CTO博客,原文链接:http://blog.51cto.com/ycrsjxy/203043 ,如需转载请自行联系原作者

相关文章
|
1月前
|
网络安全 Windows
Windows server 2012R2系统安装远程桌面服务后无法多用户同时登录是什么原因?
【11月更文挑战第15天】本文介绍了在Windows Server 2012 R2中遇到的多用户无法同时登录远程桌面的问题及其解决方法,包括许可模式限制、组策略配置问题、远程桌面服务配置错误以及网络和防火墙问题四个方面的原因分析及对应的解决方案。
|
1月前
|
监控 安全 网络安全
使用EventLog Analyzer日志分析工具监测 Windows Server 安全威胁
Windows服务器面临多重威胁,包括勒索软件、DoS攻击、内部威胁、恶意软件感染、网络钓鱼、暴力破解、漏洞利用、Web应用攻击及配置错误等。这些威胁严重威胁服务器安全与业务连续性。EventLog Analyzer通过日志管理和威胁分析,有效检测并应对上述威胁,提升服务器安全性,确保服务稳定运行。
|
1月前
|
监控 安全 网络安全
Windows Server管理:配置与管理技巧
Windows Server管理:配置与管理技巧
86 3
|
1月前
|
存储 安全 网络安全
Windows Server 本地安全策略
由于广泛使用及历史上存在的漏洞,Windows服务器成为黑客和恶意行为者的主要攻击目标。这些系统通常存储敏感数据并支持关键服务,因此组织需优先缓解风险,保障业务的完整性和连续性。常见的威胁包括勒索软件、拒绝服务攻击、内部威胁、恶意软件感染等。本地安全策略是Windows操作系统中用于管理计算机本地安全性设置的工具,主要包括用户账户策略、安全选项、安全设置等。实施强大的安全措施,如定期补丁更新、网络分段、入侵检测系统、数据加密等,对于加固Windows服务器至关重要。
|
2月前
|
数据安全/隐私保护 Windows
安装 Windows Server 2019
安装 Windows Server 2019
|
2月前
|
安全 网络协议 数据安全/隐私保护
Windows Server 2019 搭建并加入域
Windows Server 2019 搭建并加入域