Windows Server 2008 R2 之十三颗粒化密码策略

　　要存储Fine-grained 密码策略，Windows Server 2008 在活动目录目录服务架构中包含了两个新的对象：

　　1、Password Settings Container（密码设置容器）

　　2、Password Settings（密码设置）

　　Password Settings Container （PSC）在缺省情况下被创建在域的System 容器中。可以通过活动目录用户和计算机管理工具，选种高级特性选项来查看它。它存储域的Password Settings objects (PSOs) 。

　　我们不能重命名、移动或删除该容器。尽管您可以创建额外的自定义的PSCs ，它们不会被考虑当策略的结果集在计算对象的时候。因此，这也不是推荐的做法。

　　PSO 的属性的设置能够在Default Domain Policy（除Kerberos设置外）中设置。这些设置包括下面这些密码设置属性：

　　1、 Enforce password history（强制密码历史）

　　2、 Maximum password age（密码最长使用期限）

　　3、 Minimum password age（密码最短使用期限）

　　4、 Minimum password length（密码最短长度）

　　5、 Passwords must meet complexity requirements（密码必须符合复杂性）

　　6、 Store passwords using reversible encryption（用可还原的加密来储存密码）

　　这些设置也包含下面这些账号锁定设置属性：

　　1、 Account lockout duration（密码锁定时间）

　　2、 Account lockout threshold（密码锁定阀值）

　　3、 Reset account lockout after（复位帐号锁定计算器）

　　此外，PSO还有下面两个新的属性：

　  1、PSO link（PSO链接）。这是一个多值属性，它可以被链接到用户或组对象上。

　　2、Precedence（优先）。 这是一整数值，用来解决冲突，如果多个PSO 被应用到一个用户或组对象上。

　　这九个属性是mustHave 属性。意思是您必须为每个属性定义一个值。来自多个PSO 的设置不能被合并。

　　定义fine-grained　密码策略的范围

　　PSO 能够被链接到和PSO位于同一个域的用户（或inetOrgPerson）或组对象。

　  PSO 有一个名称为msDS-PSOAppliesTo 的属性，它包含了只到用户或组的正向链接。msDS-PSOAppliesTo 属性是多值的，它意味着您能够将一个PSO应用到多个用户或组。您能够创建一个密码策略并将它应用到不同集合的用户或组。

部署要求：

    域中所有的DC必须为Windows Server 2008 或R2

    域功能级别必为Windows Server 2008之上功能级别

    须使用ADSIEDIT,LDUFDE等进行管理

    当一个用户链接有多个对象时，优先级别数字越小，越优先

实验环境：

在Win2008R2CNDC这台DC上操作完成

实验要求：

检查提升域功能级别

建立测试用的全局安全组和用户

使用ADSIedit.msc创建PSO

使用第三方工具Fine Grain Password Policy Tool Beta 2创建PSO

验证用户的PSO应用

实验步骤：

一、检查提升域功能级别

二、建立测试用的全局安全组TestGroup和用户TestUser，并将TestUser加入到TestGroup

三、使用ADSIedit.msc创建PSO

运行ADSIedit.msc, 如下图进行操作

四、使用第三方工具Fine Grain Password Policy Tool Beta 2创建PSO

相对于使用Adsiedit.msc建立PSO的方法，Fine Grain Password Policy Too

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!