在Windows2000/2003域中只存在一套密码策略,就是默认的域安全策略,它无法针对每个域用户去设置不同的密码策略,而在Windows2008域中提供了多元化密码策略,这就使得我们可以同一域环境中实现多套密码策略
在实现多元化密码策略之前,需要我们将域功能级别提升到Windows 2008或者Windows 2008R2
这是默认的域安全策略,可以看到密码策略没有做任何限制,也就是说,我现再的域用户,可以将密码长度任意设置,可以是纯字母,也可以是纯数字
在本实验中,我希望将IT部OU中的用户密码长度最小设置为8位,将人力资源部OU中的用户启用复杂性密码,销售部OU中的用户密码维持现状
可是多元化密码策略不能应用于OU,只能应用于全局安全组或者用户,那我们需要在每个OU中建立相应的部门全局安全组,再将各自的用户隶属于这个组中即可
1.创建全局安全组
在OU【IT部】中新建一个全局安全组【IT部】
打开【IT部】组的属性,添加成员【蒋庆秋】
按同样的方法,在OU【人力资源部】中新建全局安全组【人力资源部】,并添加成员【赵军】
在OU【销售部】中新建全局安全组【销售部】,并添加成员【王晓婷】
2.创建密码设置对象(PSO)
多元化密码策略可以通过两种方式来实现,一种是ADSI编辑器,另一种是比较直观的工具Fine Grain Password Policies Tool
这里我们首先通过ADSI编辑器来创建应用于【IT部】的密码策略,在域控制器上打开ADSI编辑器,右键选择【连接到】
选择【默认命名上下文】
按图展开到【CN=Password Settings Container】,右键新建【对象】,新建一个密码设置对象(PSO)
设置PSO名称
时间: 2024-08-31 11:53:19