Windows 2008的AD域的多元密码策略.docx

Windows 2008 的 AD 域的多元密码策略众所周之，Windows2000 或 2003的 AD域上，密码策略只能指派到域(Site)上，不能单独应用于活动目录中的对象换句话说，密码策略在域级别起作用，而且一个域只能有一套密码策略统一的密码策略虽然大大提高了安全性，但是提高了域用户使用的复杂度举个例子来说，企业管理员的帐户安全性要求很高，需要超强策略，比如密码需要一定长度、需要每两周更改管理员密码而且不能使用上几次的密码;但是普通的域用户并不需要如此高的密码策略，也不希望经常更改密码并使用很长的密码，超强的密码策略并不适合他们为解决这个问题，在 Windows 2008的 AD域中引入了多元密码策略(Fine-Grained Password Policy)的概念多元密码策略允许针对不同用户或全局安全组应用不同的密码策略，例如:A.可以为管理员组指派超强密码策略，密码 16位以上、两周过期;B.为服务帐号指派中等密码策略，密码 30天过期，不配置密码锁定策略;C.为普通域用户指派密码 90天过期等多元密码策略的诞生，满足了不同用户对于安全性的不同要求多元密码策略虽然满足了不同级别用户对于密码安全性的要求，但是配置多个密码策略为管理员增加了管理复杂度，管理起来也不是很方便，所谓鱼和熊掌不可兼得。

而我写这篇文章的初衷就是帮朋友尽快熟悉起这个功能，鱼和熊掌，我欲兼得！一、部署条件多元密码策略部署要求有以下几点：A. 所有域控制器都必须是 Windows Server 2008； B. 域功能级别为 2008 Domain Functional Mode；C. 客户端无需任何变更；D. 如果一个用户和组有多个密码设置对象（PSO，可以把 PSO理解为和组策略对象GPO类似，通俗的理解为就是一条条的密码策略），那么优先级最小的 PSO将最终生效;E. 多元密码策略只能应用于活动目录中的用户和全局安全组，而不能应用于活动目录中的计算机对象、非域内用户和组织单元 OU二、部署实战我将通过实战方式向大家介绍如何通过 ADSIEDIT、LDIFDE 以及第三方工具FGPP、Quese 公司出品的针对 AD的 PowerShell来实现、管理多元密码策略主要的操作步骤如下：步骤 1：创建 PSO步骤 2：将 PSO 应用到用户和/或全局安全组步骤 3：管理 PSO步骤 4：查看用户或全局安全组的结果 PSO步骤 5：验证结果步骤 1：使用 ADSIEDIT工具，创建 PSO1.在 DC上打开“活动目录用户和计算机”，创建一个名为”TestOU”的 OU，然后在该 OU里面建立一个名为张三的用户和一个名为 PSOGroup的全局安全组，再把张三加入该组中。

2.在 DC上输入 adsiedit.msc工具，选择“默认命名上下文”，展开 CN=System至CN=Password Settings Container，右击选择“新建\对象”； 3.在“新建对象”界面中，点击“下一步”；4.在“值”中，输入“AdminPSO”（为这个密码策略取名），并单击“下一步”；5.接下来修改 msDS-PasswordSettingsPrecedence属性在“值”中，输入“1”（设置密码策略的优先级），并单击“下一步”；6.接下来修改 msDS-PasswordReversibleEncryptionEnabled属性在“值”中，输入“False”（是否启用用户帐户的密码可还原的加密状态），并单击“下一步”；7.接下来修改 msDS-PasswordHistoryLength属性，也就是设置用户帐户的密码历史长度在“值”中，输入“3”，并单击“下一步”；8.接下来修改 msDS-PasswordComplexityEnabled属性，也就是是启用户帐户的密码复杂性要求在“值”中，输入“TRUE”，并单击“下一步”；9.接下来修改 msDS-MinimumPasswordLength属性，也就是设置用户帐户的最短密码长度。

在“值”中，输入“16”，并单击“下一步”；10.接下来修改 msDS-MinimumPasswordAge属性，也就是设置用户帐户密码的最短使用期限默认必须是使用 1天后才能再次更改密码可以接受输入的格式为 00:00:00:00这 4段分别表示为多少天、多少小时，多少分，多少秒在“值”中，输入“00:00:00:00”，并单击“下一步”；11.接下来修改 msDS-MaximumPasswordAge属性，也就是设置用户帐户的最长密码期限默认是 42天在“值”中，输入“15:00:00:00”，并单击“下一步”； 12.接下来修改 msDS-LockoutThreshold 属性，也就是设置用户帐户锁定的锁定阈值默认没有限制可以接受的输入范围是 0到 65535在“值”中，输入“3”，并单击“下一步”； 13.接下来修改 msDS-LockoutObservationWindow属性，就是多长时间复位帐户锁定计数器比如，我设置的是 30分钟内输入 3次就锁定账号那么一个用户在 30分钟内输入错误密码 2次后，如果他在接下来的 30分钟内停止继续尝试输入错误密码，那么半个小时后他又可以继续输入 3次错误密码了。

在“值”中，输入“00:00:30:00”，并单击“下一步”； 14.接下来修改 msDS-LockoutDuration属性，也就是设置锁定用户帐户的锁定持续时间在“值”中，输入“00:00:30:00”，并单击“下一步”；15.接下来不要点击“完成”，点击“更多属性”步骤 2：将 PSO 应用到用户和/或全局安全组1.接下来不要点击“完成”，点击“更多属性”2.在“选择一个要查看的属性”处选择 msDS-PSOAppliesTo ，它用来设置此密码设置对象 PSO所应用到的对象，只能链接到用户或全局安全组的 0 个或多个 DN我将它连接到之前创建的 PSOGroup安全组步骤 3：管理 PSO查看和修改 PSO 设置1. 打开“Active Directory 用户和计算机”在“查看”菜单上，确保选中“高级功能”2. 在控制台树中，展开 Active Directory 用户和计算机域节点 SystemPassword Settings Container3. 在右侧窗格中，右键单击刚才创建的 AdminPSO，然后单击“属性”切换到“属性编辑器”选项卡4. 选择要查看或编辑其设置的属性，然后单击“查看”（对于只读值）或“编辑”（对于可编辑的值）。

注：如果没有看到要查看或编辑其设置的属性，则单击“筛选器”以自定义在“属性编辑器”选项卡上显示的属性列表 PSO 优先级多元密码策略的优先级是什么？当您配置不同的密码策略时，您需要输入不同的 Precedence值您可以设置相同的值，但是我们不建议这样做Precedence 值最好都设置为不一样的数字越小，优先级越高以下是对于密码策略生效的顺序：1. 直接连接上的密码策略会生效我们知道，每个用户，组都只会有一个直接连接到其上的密码策略这个密码策略是有最高的优先级这个优先级和 Precedence的数值无关；2. 如果没有直接连接上的密码策略，而是有不同的密码策略通过组或者 OU来连接，那么会根据您设置的 Precedence值来决定哪个会生效；3. 如果 Precedence值相同，那么通过密码策略的 GUID来决定哪个生效GUID 小的会生效我们知道，每个 GUID都是唯一的，所以到这一步肯定会分出具体哪个密码策略会生效从以上可以看出，对于一个用户来讲，对他直接设置的密码策略是生效的，其它策略不会生效如果该用户没有定义密码策略，那么要取决于他的组，OU 以及域上的密码策略的 Precedence值。

哪个值小就会生效如果值一样的话，那么比较 GUID来生效修改 PSO 优先级1. 按照上面类似的方法操作，单击 AdminPSO“属性编辑器”选项卡2. 选择 msDS-PasswordSettingsPrecedence 属性，然后单击“编辑”在“整数”“属性编辑器”对话框中，为“PSO 优先级”输入新值，然后单击“确定”删除 PSO1. 按照上面类似的方法操作，找到之前建立的 AdminPSO右击删除即可步骤 4：查看用户或全局安全组的结果 PSO使用 dsget查看用户结果 PSO1.PSO链接到用户或安全组上后，密码策略是立即生效的如何来检验呢？使用如下命令可以看到用户目前生效的密码策略：dsget user "CN=张三,OU=TestOU,DC=Winos,DC=CN" –effectivepso返回结果是：effectivepso"CN=AdminPSO,CN=PasswordSettingsContainer,CN=System,DC=Winos,DC=cn"dsget 成功表明隶属于 PSOGroup安全组的张三目前生效的密码策略是 AdminPSO2.注：a. 如果以上命令没有返回任何 PSO 名称，则表示“默认域策略”已应用到指定的用户帐户。

b. 不能直接对安全组查看生效的密码策略，只能查看用户c. 不要尝试对张三用户通过组策略管理工具 GPMC使用组策略建模或者组策略结果向导以查看他是否拿到了新密码策略，也不要尝试使用张三账号登录系统后运行 net accounts命令这些命令、工具都无法查看到张三目前应用的密码策略它们均只能查看默认域密码策略使用 ADUC管理单元查看用户结果 PSO1. 打开“Active Directory 用户和计算机”右键张三用户，然后单击“属性”2. 切换到“属性编辑器”选项卡，然后单击“筛选器”3. 确保选中“显示属性”/“可选”复选框和“显示只读属性”/“已构造”复选框 4. 找到并查看“属性”列表中的 msDS-ResultantPSO 属性的值是否为 AdminPSO.5. 注：如果 msDS-ResultantPSO 属性的值为“Null”或“未设置”，则“默认域策略”已应用到所选的用户帐户步骤 5：验证结果最简单的验证方法就是直接为张三用户修改密码因为默认的域密码策略要求 7个字符，而我为张三定义的密码策略是要满足 16个字符所以我在 ADUC上将张三的密码重设为 10位，看看能否成功，成功的话就说明他拿到的还是默认的域策略，而不是我们定义的AdminPSO。

表示 AdminPSO策略应用到张三账号上成功。