在Windows Server 2008之前的系统中,密码策略只能指派到域或站点上,不能单独应用于活动目录中的对象;换句话说,密码策略在域级别起作用,而且一个域只能有一套密码策略;统一的密码策略虽然大大提高了安全性,但是提高了域用户使用的复杂度。举个例子来说,企业管理员的帐户安全性要求很高,需要超强策略,比如密码需要一定长度、需要每两周更改管理员密码而且不能使用上几次的密码;但是普通的域用户并不需要如此高的密码策略,也不希望经常更改密码或是使用很长的密码,超强的密码策略并不适合他们;为解决这个问题,在Windows Server 2008之后的系统中引入了多元密码策略,从而满足不同用户对于安全性的不同要求,通过多元密码策略允许针对不同用户或全局安全组应用不同的密码策略
多元密码策略部署要求有以下几点:
■必须把域功能级别提升为Windows Server 2008以上
■如果一个用户和组有多个密码设置对象PSO(可以把PSO理解为和组策略对象GPO类似,通俗的理解为就是一条条的密码策略),那么优先级最小的PSO将最终生效
■多元密码策略只可以应用在用户与安全组上,不能应用到计算机上,同时也不能直接应用到OU上
打开「Active Directory 管理中心」,点击「管理」选择「添加导航节点」
选择「System」-「Password Settings Container」,然后选择「>>」添加,最后选择「确定」
选择「新建」-「密码设置」
输入密码策略的名称和优先级,设置相应的密码策略;直接应用到域用户或组(这里选择用户SM01)
客户机输入用户「SM01」三次以上错误密码,提示「引用的账户当前已锁定,且可能无法登陆」,表示策略生效
文章评论