WindowsServer2008R2之十三顆粒化密码策略.doc

Windows?Server?2008?R2?之十三颗粒化密码策略 ??? 相对于以前的活动目录只提供一种密码和帐号锁定策略的状态，Windows Server 2008提供更为灵活的Fine Gained Password(粒化密码策略)。它能够让我们在一个域中指定多个密码策略，能够使用Fine-grained 密码策略来将不同的密码和账号锁定策略应用到域中不同集合的用户。 　　要存储Fine-grained 密码策略，Windows Server 2008 在活动目录目录服务架构中包含了两个新的对象： 　　1、Password Settings Container（密码设置容器） 　　2、Password Settings（密码设置） 　　Password Settings Container （PSC）在缺省情况下被创建在域的System 容器中。可以通过活动目录用户和计算机管理工具，选种高级特性选项来查看它。它存储域的Password Settings objects (PSOs) 。 　　我们不能重命名、移动或删除该容器。尽管您可以创建额外的自定义的PSCs ，它们不会被考虑当策略的结果集在计算对象的时候。因此，这也不是推荐的做法。 　　PSO 的属性的设置能够在Default Domain Policy（除Kerberos设置外）中设置。这些设置包括下面这些密码设置属性： 　　1、 Enforce password history（强制密码历史） 　　2、 Maximum password age（密码最长使用期限） 　　3、 Minimum password age（密码最短使用期限） 　　4、 Minimum password length（密码最短长度） 　　5、 Passwords must meet complexity requirements（密码必须符合复杂性） 　　6、 Store passwords using reversible encryption（用可还原的加密来储存密码） 　　这些设置也包含下面这些账号锁定设置属性： 　　1、 Account lockout duration（密码锁定时间） 　　2、 Account lockout threshold（密码锁定阀值） 　　3、 Reset account lockout after（复位帐号锁定计算器） 　　此外，PSO还有下面两个新的属性： 　??1、PSO link（PSO链接）。这是一个多值属性，它可以被链接到用户或组对象上。 　　2、Precedence（优先）。 这是一整数值，用来解决冲突，如果多个PSO 被应用到一个用户或组对象上。 　　这九个属性是mustHave 属性。意思是您必须为每个属性定义一个值。来自多个PSO 的设置不能被合并。 　　定义fine-grained　密码策略的范围 　　PSO 能够被链接到和PSO位于同一个域的用户（或inetOrgPerson）或组对象。 　 ?PSO 有一个名称为msDS-PSOAppliesTo 的属性，它包含了只到用户或组的正向链接。msDS-PSOAppliesTo 属性是多值的，它意味着您能够将一个PSO应用到多个用户或组。您能够创建一个密码策略并将它应用到不同集合的用户或组。 　　 部署要求： ??? 域中所有的DC必须为Windows Server 2008 或R2 ??? 域功能级别必为Windows Server 2008之上功能级别 ????须使用ADSIEDIT,LDUFDE等进行管理 ????当一个用户链接有多个对象时，优先级别数字越小，越优先 实验环境： 在Win2008R2CNDC这台DC上操作完成 ? 实验要求： 检查提升域功能级别 建立测试用的全局安全组和用户 使用ADSIedit.msc创建PSO 使用第三方工具Fine Grain Password Policy Tool Beta 2创建PSO 验证用户的PSO应用 ? 实验步骤： 一、检查提升域功能级别 二、建立测试用的全局安全组TestGroup和用户TestUser，并将TestUser加入到TestGroup 三、使用ADSIedit.msc创建PSO 运行ADSIedit.msc, 如下图进行操作 四、使用第三方工具Fine Grain Password Policy Tool Beta 2创建PSO 相对于使用Adsiedit.msc建立PSO的方法，Fine Grain Password Policy Tool Beta 2提供了更为直观方便快捷的图形用户操作界面，同时它能很直观查看对象策略结果。 1、安装 Fine Grain Pas