活动目录现在应该是各大企业单位管理用户,资源的有利武器和基础结构,那么DC的安全就尤为重要。特别是密码策略。在活动目录中,微软为大家提供了非常多的强密码策略,大家可以按照自己企业单位的需要制定出一套安全策略应用于生产环境中。 但是这同时又有一些限制,在Windows server 2000和2003时代,密码策略只能指派到域(Site)上,不能单独应用于活动目录中的对象。换句话说,密码策略在域级别起作用,而且一个域只能有一套密码策略。 统一的密码策略虽然大大提高了安全性,但是提高了域用户使用的复杂度。比如企业管理员的帐户安全性要求非常高,需要超强策略,比如密码需要一定长度、需要经常更改管理员密码而且不能使用上几次的密码;但是普通的域用户并不需要如此高的密码策略,也不希望经常更改密码并使用很长的密码,超强的密码策略并不适合他们。另一方面,对于一些服务账户(比如Exchange server,SQL server系统账户),我们需要它的密码长度很长很复杂,但是又不能有锁定阀值,万一一旦有人恶意猜测导致锁定服务,那么也是一种攻击方式。 为解决这个问题,微软在Windows server 2008的活动目录中引入了多元密码策略(Fine-Grained Password Policy)的概念。多元密码策略允许针对不同用户或全局安全组应用不同的密码策略,例如: A.可以为管理员组指派超强密码策略,密码16位以上、两周过期; B.为服务帐号指派中等密码策略,密码30天过期,不配置密码锁定策略; C.为普通域用户指派密码90天过期等。 多元密码策略满足了不同用户对于安全性的不同要求。多元密码策略虽然满足了不同级别用户对于密码安全性的要求,但是配置多个密码策略为管理员增加了管理复杂度,管理起来也不是很方便。那么现在我们就来讨论如何设置多元密码策略。 部署注意点 多元密码策略部署要求有以下几点: A. 所有域控制器都必须是Windows Server 2008; B. 域功能级别为2008 Domain Functional Mode(森林功能级别可以是2003级别) C. 如果一个用户和组有多个密码设置对象(PSO,可以把PSO理解为和组策略对象GPO类似,通俗的理解为就是一条条的密码策略),那么优先级最小的PSO将最终生效; D. 可以使用ADSIEDIT或者LDIFDE或者powershell第三方工具进行管理; E. 多元密码策略只能应用于活动目录中的用户和全局安全组,而不能应用于活动目录中的计算机对象、非域内用户和组织单元OU。 OK,在这篇文章中,我会首先给大家介绍如何使用ADSIEdit配置多元密码策略。 首先,保证域功能级别是2008 Domain Functional Mode,然后在DC撒谎那个打开“活动目录用户和计算机”,创建一个PSOtestgroup的全局安全组,然后创建一个PSOtestuser的用户,将用户加入该组中。
注: a. 如果以上命令没有返回任何PSO 名称,则表示“默认域策略”已应用到指定的用户帐户。 b. 不能直接对安全组查看生效的密码策略,只能查看用户。 c. 不要尝试对用户通过组策略管理工具GPMC使用组策略建模或者组策略结果向导以查看他是否拿到了新密码策略,也不要尝试使用账号登录系统后运行net accounts命令。这些命令、工具都无法查看到账户目前应用的密码策略。它们均只能查看默认域密码策略。
windows server 2008多元密码策略三部曲(一):ADSIEdit篇
社区:
