前言
众所周之,目录服务器DC的安全性至关重要,而密码的保护又是安全性保护中很重要的一环。为活动目录制定密码策略可以减少人为的和来自网络入侵的安全威胁,保证活动目录的安全。AD管理员应该都知道,在Windows2000/2003上,密码策略只能指派到域(Site)上,不能单独应用于活动目录中的对象。换句话说,密码策略在域级别起作用,而且一个域只能有一套密码策略。 统一的密码策略虽然大大提高了安全性,但是提高了域用户使用的复杂度。举个例子来说,企业管理员的帐户安全性要求很高,需要超强策略,比如密码需要一定长度、需要每两周更改管理员密码而且不能使用上几次的密码;但是普通的域用户并不需要如此高的密码策略,也不希望经常更改密码并使用很长的密码,超强的密码策略并不适合他们。
为解决这个问题,在Win2008中引入了多元密码策略(Fine-Grained Password Policy)的概念。多元密码策略允许针对不同用户或全局安全组应用不同的密码策略,例如:
A.可以为管理员组指派超强密码策略,密码16位以上、两周过期;
B.为服务帐号指派中等密码策略,密码30天过期,不配置密码锁定策略;
C.为普通域用户指派密码90天过期等。
多元密码策略的诞生,满足了不同用户对于安全性的不同要求。多元密码策略虽然满足了不同级别用户对于密码安全性的要求,但是配置多个密码策略为管理员增加了管理复杂度,管理起来也不是很方便,所谓鱼和熊掌不可兼得。而我写这篇文章的初衷就是帮朋友尽快熟悉起这个功能,鱼和熊掌,我欲兼得!
部署注意点
多元密码策略部署要求有以下几点:
A. 所有域控制器都必须是Windows Server 2008;
B. 域功能级别为2008 Domain Functional Mode;如下图1所示:
图1
C. 客户端无需任何变更;
D. 如果一个用户和组有多个密码设置对象(PSO,可以把PSO理解为和组策略对象GPO类似,通俗的理解为就是一条条的密码策略),那么优先级最小的PSO将最终生效;
E. 可以使用ADSIEDIT或者LDIFDE或者第三方工具进行管理;
F. 多元密码策略只能应用于活动目录中的用户和全局安全组,而不能应用于活动目录中的计算机对象、非域内用户和组织单元OU。
实战
理论知识啰嗦了一大箩筐了,接下来我将通过实战方式向大家介绍如何通过ADSIEDIT、LDIFDE以及第三方工具FGPP、Quese公司出品的针对AD的PowerShell来实现、管理多元密码策略。由于本系列文章涉及到的方法比较多,为了让大家在操作的时候有一个清晰的思路,我将主要的操作步骤写出来:
步骤 1:创建 PSO
步骤 2:将 PSO 应用到用户和/或全局安全组
步骤 3:管理 PSO
步骤 4:查看用户或全局安全组的结果 PSO
步骤5:验证结果
Ⅰ. ADSIEDIT
步骤1:创建PSO
1.
在DC上打开“活动目录用户和计算机”,创建一个名为”TestOU”的OU,然后在该OU里面建立一个名为张三的用户和一个名为PSOGroup的全局安全组,再把张三加入该组中。如图2.
图2
2.
再在DC上输入adsiedit.msc,按照如图所示展开至CN=Password Settings Container。如图3所示。并在上面右击选择新建对象,如图4.
图3
图4
3.
(接下来请完全按照图示来操作)出现新建对象窗口,如图5,类别只有一个密码设置,点击下一步。
图5
4.
接下来为PSO取个有意义的名字,便于自己管理。例如我就取“AdminPSO”,如图6所示。
图6
5.
接下来修改msDS-PasswordSettingsPrecedence属性,也就是设置密码的优先级,尽管此处可以输入零或者负数,但是要想真正生效的话,此处输入的数值必须大于零。前面说过,数值越小,优先级越高。我就输入1,如图7所示。
图7
6.
接下来修改msDS-PasswordReversibleEncryptionEnabled属性,也就是是否启用用户帐户的密码可还原的加密状态。可接受输入的值为FALSE/TRUE。为了安全着想(开启后可以用工具逆向DUMP出用户的密码),如果没有特殊需求,建议设置为FALSE。如图8.
图8