Windows Server 2012 R2中的细粒度密码策略
在WindowsServer2000引入的Active Directory版本中,我们只能为整个域创建一个密码策略。此策略是在标准默认域策略中配置的。如果管理员为OU分配了具有其他密码设置的新GPO,CSE(客户端扩展)将忽略这些策略。显然,这种方法不太方便,管理员必须寻找各种各样的技巧(子域和林、过滤器等),这些技巧会造成其他问题。
在本文中,我们将详细介绍WindowsServer2012 R2中 细粒度密码策略的配置和管理。
细粒度密码策略
在WindowsServer2008中,开发人员添加了一种不同于GPO的新方法来管理密码设置- 细粒度密码策略(FGPP)。细粒度密码策略允许管理员在单个域中创建许多特殊的密码管理策略( 密码设置策略-PSO),这些策略决定了对密码(长度、复杂性、历史记录)和帐户锁定的要求。pso可以分配给特定的用户或者组,而不是activedirectory容器(OUs)。如果将PSO分配给用户,则GPO默认域策略的密码设置将不再应用于该用户。
例如,使用FGPP,我们可以对管理员帐户、服务帐户或者具有域资源外部访问权限的用户(使用VPN或者DirectAccess)的密码长度和复杂性提出更高的要求。
在域中使用多个FGPP的主要要求如下:
Windows Server 2008域或者更高版本的功能级别
可以将密码策略分配给用户或者全局安全组
FGPP被完全应用(我们不能在GPO中描述一些设置,而在FGPP中描述其中一些设置)
Windows Server 2008中此功能最重要的缺点是缺少管理密码策略的便捷工具,这些工具只能通过AD的命令行实用程序进行配置,如ADSIEdit,ldp.exe文件, LDIFDE.exe文件.
Windows Server 2012 R2细粒度密码策略配置
在WindowsServer2012的 ADAC(Active Directory管理中心)中,出现了一个新的图形界面来管理细粒度的密码策略。在这个例子中,我们将展示如何为域组 domainadmins分配一个单独的密码策略
在具有管理员权限的域控制器上启动Active Directory管理中心(ADAC),切换到树视图并展开 系统容器。找到 密码设置容器,右击 新建-> 密码设置
在出现的窗口中,指定密码策略的名称(在我们的示例中,它是域管理员的密码策略)及其设置。所有字段都是标准的:密码的最小长度和复杂性、历史中存储的密码数量、锁定设置等。注意 优先级属性。它决定当前密码策略的优先级。如果一个对象分配了多个FGPP策略,则将应用优先级字段中值最小的策略。
说明。
如果一个用户有两个分配了相同优先级值的策略,则将应用GUID值最低的策略。
如果用户分配了多个策略,其中一个策略通过AD安全组启用,另一个策略直接分配给用户帐户,则将应用分配给该帐户的策略。
然后在 直接应用于部分添加组/用户以将策略应用于他们(在我们的例子中,是Domain Admin)。保存策略。
在此之后,此密码策略将应用于域管理组的所有成员。启动Active Directory用户和计算机(ADUC)控制台(使用“已安装的高级功能”选项)并打开域管理组中任何用户的属性。前往 属性编辑器页签,在 过滤器栏位选择 构造选项。
找到 msDS ResultantPSO用户属性。此属性显示为用户启用的密码策略(CN=Domain Admin的密码策略,CN=password Settings Container,CN=System,DC=theitroad,DC=com)。
也可以通过 dsget命令获取用户当前的PSO策略:
dsget user "CN=Max,OU=Admins,DC=theitroad,DC=com" –effectivepso
如何使用PowerShell配置细粒度密码策略
当然,在Windows Server 2012 R2中,我们可以使用PowerShell创建PSO策略并将其分配给用户:
创建策略:
New-ADFineGrainedPasswordPolicy -Name "Admin PSO Policy" -Precedence 10 -ComplexityEnabled $true -Description "Domain password policy for admins"-DisplayName "Admin PSO Policy" -LockoutDuration "0.20:00:00" -LockoutObservationWindow "0.00:30:00" -LockoutThreshold 6 -MaxPasswordAge "12.00:00:00" -MinPasswordAge "1.00:00:00" -MinPasswordLength 8 -PasswordHistoryCount 12 -ReversibleEncryptionEnabled $false
将策略分配给一组用户:
Add-ADFineGrainedPasswordPolicySubject "Admin PSO Policy" -Subjects "Domain Admins"