Windows 2008的AD域的多元密码策略.docx

Windows2008的AD域的多元密码策略 众所周之，Windows2000或2003的AD域上，密码策略只能指派到域(Site)上，不能单独应用于活动目录中的对象。换句话说，密码策略在域级别起作用，而且一个域只能有一套密码策略。统一的密码策略虽然大大提高了安全性，但是提高了域用户使用的复杂度。举个例子来说，企业管理员的帐户安全性要求很高，需要超强策略，比如密码需要一定长度、需要每两周更改管理员密码而且不能使用上几次的密码;但是普通的域用户并不需要如此高的密码策略，也不希望经常更改密码并使用很长的密码，超强的密码策略并不适合他们。 为解决这个问题，在Windows 2008的AD域中引入了多元密码策略(Fine-Grained Password Policy)的概念。多元密码策略允许针对不同用户或全局安全组应用不同的密码策略，例如: A.可以为管理员组指派超强密码策略，密码16位以上、两周过期; B.为服务帐号指派中等密码策略，密码30天过期，不配置密码锁定策略; C.为普通域用户指派密码90天过期等。多元密码策略的诞生，满足了不同用户对于安全性的不同要求。多元密码策略虽然满足了不同级别用户对于密码安全性的要求，但是配置多个密码策略为管理员增加了管理复杂度，管理起来也不是很方便，所谓鱼和熊掌不可兼得。而我写这篇文章的初衷就是帮朋友尽快熟悉起这个功能，鱼和熊掌，我欲兼得！一、部署条件 多元密码策略部署要求有以下几点： A. 所有域控制器都必须是Windows Server 2008； B. 域功能级别为2008 Domain Functional Mode； C. 客户端无需任何变更； D. 如果一个用户和组有多个密码设置对象（PSO，可以把PSO理解为和组策略对象GPO类似，通俗的理解为就是一条条的密码策略），那么优先级最小的PSO将最终生效; E. 多元密码策略只能应用于活动目录中的用户和全局安全组，而不能应用于活动目录中的计算机对象、非域内用户和组织单元OU。二、部署实战 我将通过实战方式向大家介绍如何通过ADSIEDIT、LDIFDE以及第三方工具FGPP、Quese公司出品的针对AD的PowerShell来实现、管理多元密码策略。主要的操作步骤如下： 步骤 1：创建 PSO 步骤 2：将 PSO 应用到用户和/或全局安全组 步骤 3：管理 PSO 步骤 4：查看用户或全局安全组的结果 PSO 步骤5：验证结果步骤1：使用ADSIEDIT工具，创建PSO 1.在DC上打开“活动目录用户和计算机”，创建一个名为”TestOU”的OU，然后在该OU里面建立一个名为张三的用户和一个名为PSOGroup的全局安全组，再把张三加入该组中。 2.在DC上输入adsiedit.msc工具，选择“默认命名上下文”，展开CN=System至CN=Password Settings Container，右击选择“新建对象”； 3.在“新建对象”界面中，点击“下一步”； 4.在“值”中，输入“AdminPSO”（为这个密码策略取名），并单击“下一步”；5.接下来修改msDS-PasswordSettingsPrecedence属性。在“值”中，输入“1”（设置密码策略的优先级），并单击“下一步”； 6.接下来修改msDS-PasswordReversibleEncryptionEnabled属性。在“值”中，输入“False”（是否启用用户帐户的密码可还原的加密状态），并单击“下一步”； 7.接下来修改msDS-PasswordHistoryLength属性，也就是设置用户帐户的密码历史长度。在“值”中，输入“3”，并单击“下一步”；8.接下来修改msDS-PasswordComplexityEnabled属性，也就是是启用户帐户的密码复杂性要求。在“值”中，输入“TRUE”，并单击“下一步”； 9.接下来修改msDS-MinimumPasswordLength属性，也就是设置用户帐户的最短密码长度。在“值”中，输入“16”，并单击“下一步”； 10.接下来修改msDS-MinimumPasswordAge属性，也就是设置用户帐户密码的最短使用期限。默认必须是使用1天后才能再次更改密码。可以接受输入的格式为00:00:00:00。这4段分别表示为多少天、多少小时，多少分，多少秒。在“值”中，输入“00:00:00:00”，并单击“下一步”； 11.接下来修改msDS-MaximumPasswordAge属性，也就是设置用户帐户的最长密码期限。默认是42天。在“值”中，输入“15:00:00:00”，并单击“下一步”； 12.接下来修改msDS-LockoutThreshold 属性，也就是设置用户帐户锁定的锁定阈值。默认没有限制。可以接受的输入范围是0到65535。在“值”中，输入“3”，并单击“下一步”； 13.接下来修改msDS-LockoutObservationWindow属性，就是多长时间复位帐户锁定计数器。比如，我设置的是30分钟内输入3次就锁定账号。那么一个用户在30分钟内输入错误密码2次后，如果他在接下来的30分钟内停止继续尝试输入错误密码，那么半个小时后他又可以继续输入3次错误密码了。在“值”中，输入“00:00:30:00”，并单击“下一步”； 14.接下来修改msDS-LockoutDuration属性，也就是设置锁定用户帐户的锁定持续时间。在“值”中，输入“00:00:30:00”，并单击“下一步”；15.接下来不要点击“完成”，点击“更多属性”。步骤2：将 PSO 应用到用户和/或全局安全组 1.接下来不要点击“完成”，点击“更多属性”。 2.在“选择一个要查看的属性”处选择msDS-PSOAppliesTo ，它用来设置此密码设置对象PSO所应用到的对象，只能链接到用户或全局安全组的 0 个或多个 DN。我将它连接到之前创建的PSOGroup安全组。步骤 3：管理 PSO 查看和修改 PSO 设置 1. 打开“Active Directory 用户和计算机”。在“查看”菜单上，确保选中“高级功能”。 2. 在控制台树中，展开Active Directory 用户和计算机域节点SystemPassword Settings Container 3. 在右侧窗格中，右键单击刚才创建的AdminPSO，然后单击“属性”。切换到“属性编辑器”选项卡。 4. 选择要查看或编辑其设置的属性，然后单击“查看”（对于只读值）或“编辑”（对于可编辑的值）。注：如果没有看到要查看或编辑其设置的属性，则单击“筛选器”以自定义在“属性编辑器”选项卡上显示的属性列表PSO 优先级多元密码策略的优先级是什么？ 当您配置不同的密码策略时，您需要输入不同的Precedence值。您可以设置相同的值，但是我们不建议这样做。Precedence值最好都设置为不一样的。数字越小，优先级越高。以下是对于密码策略生效的顺序： 1. 直接连接上的密码策略会生效。我们知道，每个用户，组都只会有一个直接连接到其上的密码策略。这个密码策略是有最高的优先级。这个优先级和Precedence的数值无关； 2. 如果没有直接连接上的密码策略，而是有不同的密码策略通过组或者OU来连接，那么会根据您设置的Precedence值来决定哪个会生效； 3. 如果Precedence值相同，那么通过密码策略的GUID来决定哪个生效。GUID小的会生效。我们知道，每个GUID都是唯一的，所以到这一步肯定会分出具体哪个密码策略会生效。从以上可以看出，对于一个用户来讲，对他直接设置的密码策略是生效的，其它策略不会生效。如果该用户没有定义密码策略，那么要取决于他的组，OU以及域上的密码策略的Precedence值。哪个值小就会生效。如果值一样的话，那么比较GUID来生效。 修改 PSO 优先级 1. 按照上面类似的方法操作，单击AdminPSO“属性编辑器”选项卡。 2. 选择 msDS-PasswordSettingsPrecedence 属性，然后单击“编辑”。在“整数”“属性编辑器”对话框中，为“PSO 优先级”输入新值，然后单击“确定”。 删除 PSO 1. 按照上面类似的方法操作，找到之前建立的AdminPSO。右击删除即可。步骤 4：查看用户或全局安全组的结果 PSO使用dsget查看用户结果PSO 1.PSO链接到用户或安全组上后，密码策略是立即生效的。如何来检验呢？使用如下命令可以看到用户目前生效的密码策略：dsget user CN=张三,OU=TestOU,DC=Winos,DC=CN effectivepso返回结果是：effectivepsoCN=AdminPSO,CN=PasswordSettingsContainer,CN=System,DC=Winos,DC=cndsget 成功表明隶属于PSOGroup安全组的张三目前生效的密码策略是AdminPSO。 2.注： a. 如果以上命令没有返回任何PSO 名称，则表示“默认域策略”已应用到指定的用户帐户。 b. 不能直接对安全组查看生效的密码策略，只能查看用户。 c. 不要尝试对张三用户通过组策略管理工具GPMC使用组策略建模或者组策略结果向导以查看他是否拿到了新密码策略，也不要尝试使用张三账号登录系统后运行net accounts命令。这些命令、工具都无法查看到张三目前应用的密码策略。它们均只能查看默认域密码策略。使用ADUC管理单元查看用户结果PSO 1. 打开“Active Directory 用户和计算机”。右键张三用户，然后单击“属性”。 2. 切换到“属性编辑器”选项卡，然后单击“筛选器”。 3. 确保选中“显示属性”/“可选”复选框和“显示只读属性”/“已构造”复选框。 4. 找到并查看“属性”列表中的 msDS-ResultantPSO 属性的值是否为AdminPSO. 5. 注：如