您好,登錄后才能下訂單哦!
WorldSkills2017.china域里的所有用戶密碼都要求啟用密碼復(fù)雜性,除了sales組。sales組密碼長度要求最少3位。
世賽的難度還是比較大的,每一道題目雖然只有短短幾句話,但卻暗藏著一個(gè)巨大的坑,這道題目就是典型。
在默認(rèn)的域策略Default Domain Policy里,本身已經(jīng)啟用了密碼復(fù)雜性,題目要求對(duì)某個(gè)組再設(shè)置單獨(dú)的密碼策略,起初本能的想到對(duì)這個(gè)組單獨(dú)設(shè)置組策略,但細(xì)究下去卻發(fā)現(xiàn),如果使用組策略,那么是無論如何也完成不了這個(gè)任務(wù)的。
百度了一番才知道,原來從Windows Server 2008系統(tǒng)開始,在域中引入了多元密碼策略(Fine-Grained Password Policy)的概念,通過多元密碼策略允許針對(duì)不同用戶或全局安全組應(yīng)用不同的密碼策略,而這正是解開這道題目的正確鑰匙。
在Windows Server 2008之前的系統(tǒng)中,密碼策略只能指派到域或站點(diǎn)上,不能單獨(dú)應(yīng)用于活動(dòng)目錄中的對(duì)象。換句話說,密碼策略在域級(jí)別起作用,而且一個(gè)域只能有一套密碼策略。統(tǒng)一的密碼策略雖然大大提高了安全性,但是提高了域用戶使用的復(fù)雜度。舉個(gè)例子來說,企業(yè)管理員的帳戶安全性要求很高,需要超強(qiáng)策略,比如密碼需要一定長度、需要每兩周更改管理員密碼而且不能使用上幾次的密碼;但是普通的域用戶并不需要如此高的密碼策略,也不希望經(jīng)常更改密碼或是使用很長的密碼,超強(qiáng)的密碼策略并不適合他們。
為解決這個(gè)問題,在Windows Server 2008中引入了多元密碼策略,從而滿足不同用戶對(duì)于安全性的不同要求。
多元密碼策略部署要求有以下幾點(diǎn):
A. 必須把域功能級(jí)別提升為windows Server 2008以上;
B. 如果一個(gè)用戶和組有多個(gè)密碼設(shè)置對(duì)象PSO(可以把PSO理解為和組策略對(duì)象GPO類似,通俗的理解為就是一條條的密碼策略),那么優(yōu)先級(jí)最小的PSO將最終生效;
C. 多元密碼策略只可以應(yīng)用在用戶與安全組上,不能應(yīng)用到計(jì)算機(jī)上,同時(shí)也不能直接應(yīng)用到OU上。
要實(shí)現(xiàn)多元密碼策略,主要是通過ADSI編輯器。打開ADSI編輯器,按照如圖所示展開至CN=Password Settings Container,并在上面右擊,選擇新建對(duì)象。
然后出現(xiàn)新建對(duì)象窗口,類別只有一個(gè)密碼設(shè)置,點(diǎn)擊下一步
接下來為PSO取個(gè)有意義的名字,便于自己管理。
接下來修改msDS-PasswordSettingsPrecedence屬性,設(shè)置密碼的優(yōu)先級(jí),數(shù)值越小,優(yōu)先級(jí)越高,這里設(shè)為1。
接下來修改msDS-PasswordReversibleEncryptionEnabled屬性,可接受輸入的值為false/true。這項(xiàng)屬性用于設(shè)置是否啟用密碼可還原加密功能,開啟后可以用工具逆向還原出用戶的密碼,如果沒有特殊需求,建議設(shè)置為false。
接下來修改msDS-PasswordHistoryLength屬性,即強(qiáng)制密碼歷史,默認(rèn)是24個(gè),因?yàn)轭}目并沒有明確要求,這里隨意設(shè)置為3個(gè)歷史密碼不能重復(fù)。
接下來修改msDS-PasswordComplexityEnabled屬性,即是否啟用密碼復(fù)雜性要求,這里設(shè)為false。
接下來修改msDS-MinimumPasswordLength屬性,設(shè)置最短密碼長度,這里按題目要求設(shè)置為3。
接下來修改msDS-MinimumPasswordAge屬性,設(shè)置密碼最短使用期限,要求輸入格式為00:00:00:00,這4段分別表示“天、小時(shí)、分、秒”,而且只可以輸入1天的整數(shù)倍,默認(rèn)是使用1天后才能再次更改密碼。這里輸入00:00:00:00,也就是可以立即更改密碼。
接下來修改msDS-MaximumPasswordAge屬性,設(shè)置密碼最長使用期限,默認(rèn)是42天,這里采用默認(rèn)值。
接下來修改msDS-LockoutThreshold 屬性,即用戶帳戶的鎖定閾值,默認(rèn)沒有限制,這里設(shè)置為輸入3次錯(cuò)誤密碼就自動(dòng)鎖定。
接下來修改msDS-LockoutObservationWindow屬性,即多長時(shí)間復(fù)位帳戶鎖定計(jì)數(shù)器,這里設(shè)置為30分鐘后復(fù)位。
接下來修改msDS-LockoutDuration屬性,也就是設(shè)置鎖定用戶帳戶的持續(xù)時(shí)間,這里輸入鎖定30分鐘,需要注意此項(xiàng)數(shù)值一定要大于等于msDS-LockoutObservationWindow屬性的數(shù)值。
點(diǎn)擊下一步之后,PSO創(chuàng)建完成。
編輯完成后,打開屬性編輯器,找到msDS-PSOAppliesTo屬性,通過該屬性可以設(shè)置將PSO應(yīng)用到哪些用戶或是組。
設(shè)置屬性,添加sales組。
至此配置完成,并且可以立即生效。嘗試為sales組中的用戶重置密碼,可以成功設(shè)置長度為3位的密碼了。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。