域中为不同用户设置不同密码策略.docx
《域中为不同用户设置不同密码策略.docx》由会员分享,可在线阅读,更多相关《域中为不同用户设置不同密码策略.docx(15页珍藏版)》请在冰豆网上搜索。
域中为不同用户设置不同密码策略
如何设置域用户PSO密码策略
2010-06-1711:
23:
09
标签:
PSO密码用户设置
原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。
否则将追究法律责任。
最近学习windowsserver2008,发现无论是管理员帐户,还是域内其它的帐户,均需要满足密码策略,即需要使用大写,小写与数字三种组合的密码。
不得不承认,安全性很强,但是对我们公司的普通用户来说,很麻烦。
于是想到了使用PasswordSettingsobjects(PSO)来将特定的用户密码设置。
比如说一些老总,让他们用这么复杂的密码,肯定不方便,现在说详细说一下如何使用PSO策略来设定域内特定的用户的密码策略。
环境如下:
1.DC:
windowsserver2008R2enterpriseeditionX64.
name:
2.testuseraccout:
test01@
下面进入正式的实验步骤:
1.登录域DC,新建一个安全的组,名为password,并创建testaccout test01@,将该帐户加入到password安全组。
那我这里设定的密码是大小写和数字组合。
我们来尝试一下更改密码为123456,可以看到,不可以更改。
2.使用domainadmins帐户组的一个帐号登入到域,我这里用的是administrator,然后依次打开“开始”菜单,在运行中输入"adsiedit.msc",然后右键点击"connectto"连接到域控制器,具体操作见下图。
3.我们依次展开dc=anet,DC=com,选择cn=system这里,将cn=system展开来
4.,找到下面的"cn=passwordSettingsContainer"这是一个密码设置容器,我们右键点击这个container,并选择新建object(对象),弹出新建object的对话框,点击下一步。
5.在common-name这里随便输入一个名字,我这里写"PS01",然后点击下一步;
6.下面出现msds-passwordSettingsPrecedence,这里必须输入大于0的数字。
我这里输入10,这个选项意思是优先级。
7.接下来进入msds-passwordReversibleEncryptionEnabled,微软的官方解释意思是Passwordreversibleencryptionstatusforuseraccounts,中文意思是说帐户密码是否可以可逆加密。
输入是或者否,我这里输入FALSE
8.密码历史长度,输入6;
9.密码是否需要满足复杂性,这里选择不需要,布尔型,FALSE;
10.密码最少长度,我这里设置为6个长度。
11.密码有效时间,格式为XX:
XX:
XX:
XX,即天:
小时:
分:
秒,如1:
00:
00:
00表示的是一天;下面的最长时间也是一样的,我这里设置的是60天,也就是俩个月的密码最长有效时间;
12.密码错误次数将会锁定,这里设置为三次;
13.下面这个选项,用户多久时间内错误三次会锁定帐户;
14.用户帐户三次错误后封锁的时间,即必须等待这个时间后才能再输入密码;这个选项设置以后,按完成即可完成object创建过程。
15.关闭刚刚的窗口,我们进入到activedirectoryusersandcomputers.点击“查看”--并且将"advancedfeatures"高级功能,选中。
16.找到下面的system选项,并将其展开后,找到“passwordSettingsContainer”,可以看到右边出现了我们刚刚新建好的PS01这个密码容器。
17,双击PS01,然后切换到"attributeeditor"属性编辑,这个地方,如下图所示:
18.找到msDS-PSOAppliesTo这个选项,意思是PSO策略应用于,我们双击这里,或者点编辑。
19.在添加windows帐户(addwindowsaccount)这个地方选择要添加的windows帐户,我们选择刚刚新建好的安全组password安全组,将其添加进去。
顺便说一下,这里也可以直接添加你要设定特定密码策略的帐户。
20,好了,我们已经添加进去,点击确定就好了,然后大家可以试试去改一下test01@这个帐户的密码,可以看到,已经可以改成123456了。
好了,今天就写到这里了,第一次写原创文章,可能写得不怎么好,有需要改进的地方,还请大家多多指教。
升级会员 