GPO组策略对象之配置不一样密码策略

2021年09月15日 阅读数:3
这篇文章主要向大家介绍GPO组策略对象之配置不一样密码策略,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

 

 

     出于安全考虑,公司通常会根据不一样级别来定义不一样的口令策略,好比普通员工的密码策略相对简单些,而一些比较重要的职位好比经理总经理  主管等会设置比较复杂一点的密码策略,这就要涉及到细粒度密码策略了;而细粒度密码策略的实现须要一些前提:windows

l  若是管理员须要实现精细粒度的口令策略,则必需要将域中的全部域控制器升级到2008并将整个域都处于2008的功能模式下。安全

l  若是在域环境中启用了细粒度口令策略,那么若是与其余口令策略发生冲突的时候,须要注意一个优先性的问题。编辑器

l  了解精细口令策略在继承上的限制。若是在组的级别上或者用户级别上设置普通用户口令策略的话,能够为同一个用户设置多个口令力策略。ide

 

下面首先配置常规的密码策略:工具

n  普通用户使用如下密码策略:测试

强制密码历史:50个密码加密

最长密码期限:30spa

最短密码期限:13d

最短密码长度:8个字符orm

复杂密码:启用

使用可逆加密存储密码:禁用

 

修改密码策略:

1.   首先打开组策略管理,右击《Default Domain Policy》进行编辑。

GPO组策略对象之配置不一样密码策略_p

2.   而后点击《计算机配置》----windows设置》----《安全设置》----《帐户策略》----《密码策略》。在这里咱们能够看到密码的设置。

GPO组策略对象之配置不一样密码策略_组策略_02

3.   而后双击《密码长度最小值》。并设置为8个字符。点击肯定。双击《密码最长使用期限》,设置为30天。而后点击肯定。

GPO组策略对象之配置不一样密码策略_justify_03

4.   设置完以后,咱们能够在Default Domain Policy 的设置里看到咱们设置的密码策略。

GPO组策略对象之配置不一样密码策略_p_04

测试密码策略:

5.   DC上,在运行里输入gpupdate /force强制刷新组策略。以后在域管理员登录一台客户端计算机,运行rsop.msc命令打开策略的结果集。

GPO组策略对象之配置不一样密码策略_justify_05

n  细粒度密码策略设置:

密码策略:

ü  强制密码历史: 100

ü  最长密码期限: 15

ü  最短密码期限: 1

ü  最短密码长度: 12

ü  密码必须符合复杂性要求:启用

ü  使用可逆加密存储密码: 禁用

帐户锁定策略:

ü  帐户锁定时间: 30分钟

ü  帐户锁定阀值: 3

ü  复位帐户锁定失败: 30分钟

 

:建立PSO

1.   首先把域功能级别提高为windows server 2008 R2

GPO组策略对象之配置不一样密码策略_justify_06

2.   登录DC,而后打开AD用户和计算机,建立一个名为PSOOU,而后再ou里面建立一个名为PSOGroup的全局安全组,。再把财务部经理和总经理添加到组中。

GPO组策略对象之配置不一样密码策略_p_07

3.   以后打开ADSI编辑器。右击《CN=Password Settings Container》新建对象。

GPO组策略对象之配置不一样密码策略_justify_08

4.   这里为PSO取个便于本身管理的名称。这里咱们取个《managerGPO》。设置密码的优先级,数值越小,优先级越高,这里咱们设置为1,优先级最高。

GPO组策略对象之配置不一样密码策略_组策略_09

5.   这里设置是否启用用户帐户可还原状态。若是输入true(可使用工具逆向dump出用户的密码),因此为了安全,咱们设置false。这里设置用户密码的密码历史长度。可输入的值为01024,咱们为了比较安全,能够设置100. 下面启用用户帐户的密码复杂性要求。为了安全,固然启用复杂性要求了,这里设置true

GPO组策略对象之配置不一样密码策略_组策略_10

6.   设置用户帐户的最短密码长度。能够输入的值有0255,咱们这里设置12. 这里设置用户帐号密码的最短使用期限。咱们设置1天,也就是必须使用一天才能修改密码。使用的格式为00:00:00:00,分别表示天、时、分、秒。咱们这里设置01:00:00:00这里设置用户帐户的最长密码期限。组策略默认是42天。咱们为了安全,缩短按期修改密码的时间,这里设置15天。也就是15:00:00:00

GPO组策略对象之配置不一样密码策略_p_11

7.   设置用户帐户锁定的锁定阀值。咱们这里设置输入3次错误密码就自动锁定。设置在此后复位锁定计数器。通俗的讲就是输错密码过多长时间才不会算一次。咱们这里设置30分钟。00:00:30:00 。设置锁定用户帐户的锁定持续时间。咱们设置30分钟。

GPO组策略对象之配置不一样密码策略_justify_12

二:将PSO应用到用户组。

8.   点击《下一步》以后,在点击《更多属性》。在《选择一个要查看的属性》处选择msDC-PSOAppliesTo,编辑属性输入如图所示:而后点击肯定。再点击完成。

 

GPO组策略对象之配置不一样密码策略_p_13

三:查看并测试用户结果PSO

9.   打开AD用户与计算机,开启高级功能。而后在用户属性里面,点击属性编辑器。查看《msDS-ResultantPSO》属性里的值是否为managerPSO,

GPO组策略对象之配置不一样密码策略_p_14

10. 以后咱们修改用户密码来测试。首先输入密码为9位。修改不成功。由于不符合长度。

GPO组策略对象之配置不一样密码策略_p_15

GPO组策略对象之配置不一样密码策略_p_16

11. 咱们再来输入12位的密码。修改为功。

GPO组策略对象之配置不一样密码策略_组策略_17

GPO组策略对象之配置不一样密码策略_组策略_18