公司中为部门单独设定密码策略

用户今天有一个需求,要给一个ou设置单独的密码策略,他们的Windows Server服务器版本是2008R2企业版,由于密码策略只能在默认域策略中定义,无法对单个特定的用户组设定密码策略,Server 2008之后多了一个新的功能,有两种叫法,多元化密码策略和颗粒化密码策略

用户需求很简单,让他们应用组的成员不要继承默认的密码策略,默认的是90天修改密码,阈值5次,修改为999天,阈值999,感觉就跟开玩笑一样

下面用我测试环境进行操作,最后说一个实际操作中遇到的问题

= = 新建一个安全组,密码策略需要依靠安全组来实现

然后将sijia加入Password安全组中

= = 打开ADSI编辑器,创建新的对象,现在就是在创建一条单独的密码策略

1)键入密码策略名称

2)注意语法类型是整数类型,0-9数字,不可以出现小数点

3)布尔型,只能出现True 或 False,用可还原的加密存储密码,选择False

4)密码历史长度,比如密码历史长度设置为1,你这次使用了密码123,下次修改密码时密码不可以是123,第二次修改密码时才可以继续使用123

5)密码复杂性,选择False

6)最小密码长度,我这里选择的8,后续可以更改

7)语法是持续时间,必须以天:时:分:秒的格式输入,我输入的998

8)最短时间和最大时间不可以一致,最大设置998

9)用户多少次错误密码锁定账户

10)账户锁定持续时间,设置的是一秒

11)账户解除阀值时间,也是一秒

12)完成后打开对象属性,找到msDS-PSAppliesTo这个值

13)将创建好的安全组添加到值中,记住开始我将用户已经添加到了安全组中

14)为了方便测试,我将最短密码长度修改为1

= = 测试密码测试是否生效

1)我之前将最短密码长度修改为1,由于域内非Password安全组的用户还是继承域密码策略的,还是具有密码复杂性,不能修改密码

2)sijia这个用户是Password安全组中的用户

3)使用1位数密码修改成功,说明密码策略是生效的

= = 用户生产环境应用密码策略遇到的问题

1)在创建完密码策略时,反复测试密码策略不生效,排除了创建的值得问题,只要写对语法创建完成时就不会报错,比如整数型 输入1-9的数字,布尔型 输入 True或False, 持续时间 输入 天:时:分:秒

2)还有一个可能就是用户的域级别不是2008,后来查看用户域级别发现是2003

需要提升域功能级别,这里肯定有人会问,提升林和域级别会不会对生产环境和用户环境造成影响,答案是不会,除非你域中有03的域控,域级别和林级别提升后,就不支持03域控了,此外,没有其他风险

3)提升林功能级别

4)提升域功能级别

5)提升后,用户反应策略已经生效...

时间: 2024-12-28 01:38:33

公司中为部门单独设定密码策略的相关文章

在Windows Server 2019中配置多元密码策略

长久以来,微软活动目录中的账户只能配置同一个密码策略.上到管理员账户,下到普通用户的密码策略都是一样的.而且密码策略只能在域级别配置生效.OU级别的密码策略只会对该OU中计算机的本地账户生效.通常认为,管理员的账户密码策略应该更为严格和复杂,而普通用户的账户密码策略相对来说并没有那么重要.终于在Windows Server 2008的时候微软引入了多元密码策略Fine-Grained Password Policies(FGPP)来使得密码策略配置更为灵活有效.不过在刚推出的时候FGPP的配置需

项目案例分析二:密码策略与上次交互式登录

今天有个朋友跟我聊天时提到他们公司的域用户经常会遇到被锁定的状态,而且4小时后会自动解锁,想查看AD里面是否能够统计和显示域用户登录失败次数和时间等信息.所以搭建了个小测试来解决这个问题. 声明:在启用上次交互式登录之前务必提前做好测试,否则会造成用户端无法登陆的情况,更多内容和注意事项可以参考Technet文章:"Active Directory 域服务:上次交互式登录"https://technet.microsoft.com/zh-cn/library/dd446680%28v=

多元密码策略

在以前Windows Server 2003和之前的版本中,域安全策略只能使用一种,也就是你的域中只能存在一个安全策略:而无法针对不同的部门或个人设置不同密码策略,但是Windows Server 2008之后可以为不同的部门或个人设置不同的密码策略: 要求: 域功能级别必须是Windows Server 2008或以上 是Domain Admins组中的成员 1.点击"开始-管理工具-ADSI编辑器" 2.右击"ADSI编辑器",选择"连接到"

Windows Server 2008 R2 颗粒化密码策略

要求: 域功能级别Windows Server 2008以上 部署颗粒化密码策略的步骤: 1. 先创建Password Policy Object(adsiedit.msc - 加载域分区 - System - Password Settings Container - 右击新建对象 2. 设置具体的密码策略: 第一个"值"= OU策略名 第二个"值[密码设置优先级:当一个用户同时属于多个部门,则该值越小,相应的优先级就越高]"= 10 第三个"值[密码是

关于linux系统密码策略的设置

由于工作需要最近需要将公司的多台linux服务器进行密码策略的设置,主要内容是增加密码复杂度. 操作步骤如下,不会的同学可以参考: 操作前需要掌握如下几个简单的知识点:(其实不掌握也行,不过学学没坏处) PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制.它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添

windows server 2012 r2 多元化密码策略

多元化密码策略的意义:可以对对象进行细化管理,比如此例中对相应组的单独应用而不会对其他对象产生影响,即方便了管理也保证了安全性. 一.在域控制器-->用户和计算机里面建立OU.用户以及相应的组 一.仪表盘-->active directory管理中心-->本地-->system-->password setting container-->右键单击-->新建密码设置 一.此处设置为无相应安全要求并应用于HR组 说明:PSO优先级,不能设置为0,最高级别从1开始(1

linux用户密码策略测试

1.linux普通用户默认密码策略: 用passwd修改用户密码,常常提示"BAD PASSWORD: it is based on a dictionary word".实际上linux要求的密码验证机制是在/etc/login.defs中规定最小密码字符数:同时还要受到/etc/pam.d/passwd的限定.但是在root用户下怎么设置都可以,可以不受验证机制的约束,即便出来"BAD PASSWORD: it is based on a dictionary word&

关于linux系统密码策略的设置(转载)

由于工作需要最近需要将公司的多台linux服务器进行密码策略的设置,主要内容是增加密码复杂度. 操作步骤如下,不会的同学可以参考: 操作前需要掌握如下几个简单的知识点:(其实不掌握也行,不过学学没坏处) PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制.它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添

server2008密码不满足密码策略的要求,检查最小密码长度、密码复杂性和密码历史的要求”的解决办法

由于域的规约而导致的问题,问题在于密码设定不符合策略组的规约.此时需要到域策略中设置响应选项来降低密码的复杂度.(默认的复杂度需要至少7字符,且包含多个字母和数字) Windows Server 2003解决办法是: 选择 开始>程序>管理工具>域安全策略>帐户策略>密码策略 密码必须符合复杂性要求:由"已启用"改为"已禁用": 密码长度最小值:由"7个字符"改为"0个字符" 使此策略修改生效有如