用户今天有一个需求,要给一个ou设置单独的密码策略,他们的Windows Server服务器版本是2008R2企业版,由于密码策略只能在默认域策略中定义,无法对单个特定的用户组设定密码策略,Server 2008之后多了一个新的功能,有两种叫法,多元化密码策略和颗粒化密码策略
用户需求很简单,让他们应用组的成员不要继承默认的密码策略,默认的是90天修改密码,阈值5次,修改为999天,阈值999,感觉就跟开玩笑一样
下面用我测试环境进行操作,最后说一个实际操作中遇到的问题
= = 新建一个安全组,密码策略需要依靠安全组来实现
然后将sijia加入Password安全组中
= = 打开ADSI编辑器,创建新的对象,现在就是在创建一条单独的密码策略
1)键入密码策略名称
2)注意语法类型是整数类型,0-9数字,不可以出现小数点
3)布尔型,只能出现True 或 False,用可还原的加密存储密码,选择False
4)密码历史长度,比如密码历史长度设置为1,你这次使用了密码123,下次修改密码时密码不可以是123,第二次修改密码时才可以继续使用123
5)密码复杂性,选择False
6)最小密码长度,我这里选择的8,后续可以更改
7)语法是持续时间,必须以天:时:分:秒的格式输入,我输入的998
8)最短时间和最大时间不可以一致,最大设置998
9)用户多少次错误密码锁定账户
10)账户锁定持续时间,设置的是一秒
11)账户解除阀值时间,也是一秒
12)完成后打开对象属性,找到msDS-PSAppliesTo这个值
13)将创建好的安全组添加到值中,记住开始我将用户已经添加到了安全组中
14)为了方便测试,我将最短密码长度修改为1
= = 测试密码测试是否生效
1)我之前将最短密码长度修改为1,由于域内非Password安全组的用户还是继承域密码策略的,还是具有密码复杂性,不能修改密码
2)sijia这个用户是Password安全组中的用户
3)使用1位数密码修改成功,说明密码策略是生效的
= = 用户生产环境应用密码策略遇到的问题
1)在创建完密码策略时,反复测试密码策略不生效,排除了创建的值得问题,只要写对语法创建完成时就不会报错,比如整数型 输入1-9的数字,布尔型 输入 True或False, 持续时间 输入 天:时:分:秒
2)还有一个可能就是用户的域级别不是2008,后来查看用户域级别发现是2003
需要提升域功能级别,这里肯定有人会问,提升林和域级别会不会对生产环境和用户环境造成影响,答案是不会,除非你域中有03的域控,域级别和林级别提升后,就不支持03域控了,此外,没有其他风险
3)提升林功能级别
4)提升域功能级别
5)提升后,用户反应策略已经生效...