创建细粒度密码策略
在这篇文章中,我们将看到创建细粒度密码策略的步骤细粒度密码策略(FGPP)。在Microsoft Windows 2000和Windows Server 2003 Active Directory域中,只能对域中的所有用户应用一个密码和帐户锁定策略,该策略在域的“默认域策略”中指定。因此,如果您希望为不同的用户集设置不同的密码和帐户锁定设置,则必须创建密码过滤器或部署多个域。由于不同的原因,这两种选择都代价高昂。从Windows Server 2008开始,您可以使用细粒度密码策略来指定多个密码策略,并对单个域中的不同用户集应用不同的密码限制和帐户锁定策略。
创建细粒度密码策略
在这篇文章中,我们将看到在Windows Server 2012 R2域控制器上创建细粒度密码策略的步骤。一旦我们创建了FGPP,我们将把它应用到一个名为笔记本电脑用户.这是一个由少数用户组成的测试组。我发现在Windows Server 2012 R2上配置FGPP比在Windows Server 2008 R2上配置FGPP要容易得多。
要创建FGPP,请使用域管理帐户登录到域控制器并单击服务器管理器.要启用细粒度密码策略(FGPP),需要打开Active Directory管理中心(ADAC),切换到树视图并导航到系统,密码设置容器.右键单击Password Settings Container对象并选择新点击密码设置。
为密码策略提供一个名称。设置优先级属性值为2.对于其余设置,用适当的数据填充所有设置。
[vc_row][vc_column][TS_VCSC_Info_Notice panel_type= " warning " panel_icon= " ts- awsome -hand-o-right " panel_title= " Note " font_title_family= "默认值:常规" font_content_family= "默认值:常规" el_file1= " " "]根据Microsoft,优先级属性值越低,表示该PSO的级别或优先级越高。例如,假设一个对象有两个pso链接到它。一个PSO的优先级值为2,另一个PSO的优先级值为4。[/TS_VCSC_Info_Notice][/vc_column][/vc_row]此时优先级为2的PSO优先级更高,因此应用于该对象。
现在,您需要将这个PSO应用于一个名为笔记本电脑用户.点击添加并浏览群组,单击好吧.
查看用户打开的PSO结果活动目录用户和计算机。在“视图”菜单上,确保先进的功能检查。在控制台树中,单击用户。在详细信息窗格中,右键单击要查看结果PSO的用户帐户,然后单击属性。单击属性编辑器选项卡,然后单击过滤器.确保显示属性/可选选中复选框。确保显示只读属性/构造选中复选框。属性的值msDS-ResultantPSO属性。
还可以使用dsget命令从命令行查看用户的PSO结果。打开命令提示符并输入以下命令,然后按进入。
dsget user < user - dn > -effective
在下面的截图中,我们可以看到应用了FGPP。用户尝试将密码更改为简单密码,但他得到错误,因为我们在策略中指定了密码必须满足复杂度要求。
谢谢你的帖子,但是你如何将它应用于子域中的组呢?
是否需要删除默认域策略下的策略?我不能让这个工作,我把优先级1,并有10个字符的最小密码。我将此策略指向一个密码为8个字符的测试用户。退出和重新登录和重新启动仍然允许登录与8字符的pw。我已经确认测试策略显示在属性编辑器的帐户中。
还是只有当用户下次尝试更改密码时才会生效?
我认为这里你需要使用PSO(细粒密码设置)通过ADSIedit控制台。
我确实让它工作,但只有在我设置这个测试帐户,要求在下次登录时更改密码。在这一点上,注销/登录它得到了我的测试策略,而不是正常的默认域策略。我更感兴趣的是用户将体验到什么,所以这是我测试的重点。
我将做另一个测试,让它静置几天,看看它是否会自行过期。但是很明显,至少在我的领域(2012r2),设置细粒度策略不会在用户不满足新需求时立即断开连接。
使用AD管理中心,如果我想设置细粒度密码策略,以使密码永远不会过期,正确的值是多少?这是0吗?我找到了相互矛盾的答案。谢谢。
如果我在没有密码策略的地方添加了密码策略,它会“立即”影响用户,还是只在下次他们尝试更改密码时才影响用户。这取决于应用的策略吗?例如,一个用户有6个字符的密码,我们实现了至少8个字符。我们不希望它立即影响用户,而是告诉用户更改他们的密码,并在那时遵循新的密码策略。谢谢
我知道有点晚了,但我有个问题。如果当前密码比新策略规定的短,用户将被迫在下次登录时修改密码,并禁止访问网络共享等功能。设置过短的密码会立即失效。