AD多元密码策略

AD多元密码策略

u 案例需求

在同一个域中针对不同用户实施不同的密码策略。

u 知识提示

在Windows域中,管理员通常都会通过组策略来部署密码策略,用来加强用户帐户的安全性,但是在Windows Server 2003及其之前版本的活动目录中,在一个域中只能有一套密码策略。在通常情况下,管理员账户和普通员工账户不适合使用统一的密码策略,比如普通员工账户适合于每个月更改一次密码,但管理员账户并不适合每个月更改一次密码;管理员账户密码通常也会比普通员工账户密码更加复杂,这同样也不适合于普通员工帐户。

为了解决这个问题,在Windows Server 2008中引入了多元密码策略,该策略允许针对不同用户或全局安全组应用不同的密码策略。

在部署多元密码策略的时候,要求所有域控制器都是Windows Server 2008,而且当前域功能级别必须为Windows Server 2008。

部署多元密码策略,需要使用ADSI Edit工具,具体操作步骤如下。

(1)在AD用户和计算机管理工具中创建OU,名为Admins,在OU中新建名为Admin_group的全局安全组,然后将用户“zhangsan”加入到该组,如图3.1所示。

图3.1 创建组

(2)在域控制器上的管理工具中打开“ADSI Edit”管理工具,右击“ADSI Edit”,在弹出的菜单中选择“连接到”命令,如图3.2所示。

图3.2 打开ADSI Edit管理工具

(3)在“连接设置”窗口中选择连接点,选择一个已知命名上下文为“默认命名上下文”,然后单击“确定”按钮,如图3.3所示。

图3.3 连接设置

(4)双击右侧窗口中的“默认命名上下文”,然后依次展开节点“DC”→“CN=System”→“CN=Password Settings Container”,右击“CN=Password Settings Container”,在弹出的菜单中依次选择“新建”→“对象”命令,如图3.4所示。

图3.4新建对象

(5)在“创建对象”窗口中直接单击“下一步”按钮,如图3.5所示。

图3.5 创建对象(1)

(6)在如图3.6所示窗口中输入一个有意义的值,便于管理,然后单击“下一步”按钮。

图3.6 创建对象(2)

(7)在如图3.7所示窗口中设置该密码策略的优先级。数值越小,优先级则越高,数值必须大于0才生效,在此输入1,然后单击“下一步”按钮。

图3.7 创建对象(3)

(8)在如图3.8所示窗口中设置用户密码是否可还原,如果启用可以使用工具逆向推测出用户密码。此处可输入的值为“TRUE/FALSE”,建议设置为“FALSE”,单击“下一步”按钮。

图3.8创建对象(4)

(9)在如图3.9所示窗口中设置密码历史记录,可以输入的值为0—1024,默认为24个,在此设置为“3”,单击“下一步”按钮。

图3.9 创建对象(5)

(10)在如图3.10所示窗口中设置密码复杂度,此处可输入的值为“TRUE/FALSE”,建议设置为“TRUE”,单击“下一步”按钮。

图3.10 创建对象(6)

(11)在如图3.11所示窗口中设置密码长度最小值,此处可输入的值为0--255,在此设置为“16”,单击“下一步”按钮。

图3.11 创建对象(7)

(12)在如图3.12所示窗口中设置密码最短使用期限,此处可输入值的格式为00:00:00:00,含义为天:小时:分:秒。在此设置为“00:00:00:00”,表示可以立即更改密码,单击“下一步”按钮。

图3.12 创建对象(8)

(13)在如图3.13所示窗口中设置密码最长使用期限,此处可设置的时间格式和上一步中的时间格式相同。在此设置值为 “180:00:00:00”,单击“下一步”按钮。

图3.13 创建对象(9)

(14)在如图3.14所示窗口中设置账户锁定阀值,此处可输入的值为0—65535,在此设置为3,单击“下一步”按钮。

图3.14创建对象(10)

(15)在如图3.15所示窗口中设置复位账户锁定计数器的时间,在此设置为“00:00:30:00”,单击“下一步”按钮。

图3.15创建对象(11)

(16)在如图3.16所示窗口中设置账户锁定时间,在此设置为“00:00:30:00”,单击“下一步”按钮。

图3.16创建对象(12)

(17)在如图3.17所示窗口中先不要单击“完成”按钮,单击“更多属性”按钮。

图3.17 创建对象(13)

(18)在如图3.18所示窗口中选择要查看的属性为“msDS-PSOAppliesTo”,用来将此密码策略连接到所应用的对象,只能够链接到用户或全局安全组。在此连接到在前面创建的Admin_group组,在编辑属性框中按图3.18中的格式输入后,单击“添加”按钮即可。

图3.18 创建对象(14)

至此就完成了密码策略的创建,在如图3.19中可以看到刚刚创建的密码策略对象。

图3.19 查看密码策略对象

最策略对象链接到安全组后,密码策略可以立即生效,使用如下命令可以查看当前用户所应用的密码策略,如图3.20所示,Admingroup就是刚刚在ADSI Edit工具中创建的组策略对象。

dsget user "cn=zhangsan,ou=admins,dc=benet,dc=com" -effectivepso

图3.20 查看用户密码策略

时间: 2024-08-07 00:16:58

AD多元密码策略的相关文章

多元密码策略

在以前Windows Server 2003和之前的版本中,域安全策略只能使用一种,也就是你的域中只能存在一个安全策略:而无法针对不同的部门或个人设置不同密码策略,但是Windows Server 2008之后可以为不同的部门或个人设置不同的密码策略: 要求: 域功能级别必须是Windows Server 2008或以上 是Domain Admins组中的成员 1.点击"开始-管理工具-ADSI编辑器" 2.右击"ADSI编辑器",选择"连接到"

在Windows Server 2019中配置多元密码策略

长久以来,微软活动目录中的账户只能配置同一个密码策略.上到管理员账户,下到普通用户的密码策略都是一样的.而且密码策略只能在域级别配置生效.OU级别的密码策略只会对该OU中计算机的本地账户生效.通常认为,管理员的账户密码策略应该更为严格和复杂,而普通用户的账户密码策略相对来说并没有那么重要.终于在Windows Server 2008的时候微软引入了多元密码策略Fine-Grained Password Policies(FGPP)来使得密码策略配置更为灵活有效.不过在刚推出的时候FGPP的配置需

Windows Server 2012中的多元密策略

在Windows Server 2008就已经可以使用多元密码策略的,但使用起来很不方便,但到了Windows Server 2012中就简单多了,至于什么是多元密码策略以及在Windows Server 2008中怎么使用大家可以可以去看看我以前的博客:http://yupeizhi.blog.51cto.com/3157367/1549873 1.新建两个测试用户"test1"和"test2": 2.打开"Active Directory 管理中心&q

PowerShell AD用户密码过期脚本更新版

越接触PowerShell感觉越喜欢这门脚本语言,简单易懂,功能强大,操作也方便,同时得益于微软的鼎力支持,在不同的微软产品平台都可以使用,如果想研究微软这方面的东西,会点PowerShell绝对是好处多多. 之前也写了一些关于PowerShell的文章,也相当于是自己不断摸索的过程,最近也陆陆续续写了一些脚本,有一些是工作环境里使用的,没办法拿出来分享,有一些是不同环境里都可以使用的,所以决定拿出来分享一下,脚本都很简单,写的也绝对算不上专业,只是基本的功能可以实现. 今天和大家分享的是写的一

项目案例分析二:密码策略与上次交互式登录

今天有个朋友跟我聊天时提到他们公司的域用户经常会遇到被锁定的状态,而且4小时后会自动解锁,想查看AD里面是否能够统计和显示域用户登录失败次数和时间等信息.所以搭建了个小测试来解决这个问题. 声明:在启用上次交互式登录之前务必提前做好测试,否则会造成用户端无法登陆的情况,更多内容和注意事项可以参考Technet文章:"Active Directory 域服务:上次交互式登录"https://technet.microsoft.com/zh-cn/library/dd446680%28v=

Win7修改密码策略

第一步.Win+R打开cmd窗口输入gpedit.msc 第二步.修改密码策略(打开"计算机配置"-->"安全设置"-->"账户策略"-->"密码策略") 第三步.修改密码复杂度.密码使用期限 第四步.设置密码锁定次数 第五步.cmd下设置密码[net user administrator Hell0!jie]

pam密码策略

PAM 的使用历史 PAM 是关注如何为服务验证用户的 API.在使用 PAM 之前,诸如 login(和 rlogin.telnet.rsh)之类的应用程序在 /etc/passwd 中查找用户名,然后将两者相比较并验证用户输入的名称.所有应用程序使用了这些共享服务,但是并未共享实现细节和配置这些服务的权限. 接下来,应用程序开发人员尝试编写自定义过程代码.在此过程中,需要分离应用程序与安全模块(通用安全模块可以在应用程序之间共享并且可以根据需求进行配置). PAM 机制将把多个低级别验证模式

MySQL 5.7 密码策略

在MySQL 5.7版本中,用户密码策略分成低级LOW.中等MEDIUM和超强STRONG三种,推荐使用中等MEDIUM级别. 我们在安装MySQL的时候,会通过如下命令来设置用户密码策略: shell> mysql_secure_installation 使用如下命令查看现有的密码策略 mysql> SHOW VARIABLES LIKE 'validate_password%'; validate_password_number_count参数是密码中至少含有的数字个数,当密码策略是MED

Windows Server 2008 R2 颗粒化密码策略

要求: 域功能级别Windows Server 2008以上 部署颗粒化密码策略的步骤: 1. 先创建Password Policy Object(adsiedit.msc - 加载域分区 - System - Password Settings Container - 右击新建对象 2. 设置具体的密码策略: 第一个"值"= OU策略名 第二个"值[密码设置优先级:当一个用户同时属于多个部门,则该值越小,相应的优先级就越高]"= 10 第三个"值[密码是