2. 程式人生 > >在Windows Server 2008中配置精準密碼策略和帳戶鎖定策略

在Windows Server 2008中配置精準密碼策略和帳戶鎖定策略

阿新 發佈:2019-02-03
在windows 2000和windows 2003的活動目錄域中,我們只能夠在Default Domain Policy中為所有使用者配置應用一個密碼策略和帳戶鎖定策略,如果我們需要為一些特殊的使用者制定不同的密碼和帳戶鎖定策略,我們只能夠通過建立新域的方法,因為以前一個域只能夠使用一個密碼和帳戶鎖定策略。        Windows Server 2008 ADDS 中新增了一項功能,稱為精準密碼策略,可以用它在域中定義多個密碼策略,並且將它應用到使用者或者全域性安全組中,注意,不是應用在OU中,要想使用此功能, 我們需要藉助ADSIEdit編輯器為域建立Password Settings objects (PSOs),下面來介紹具體的操作:        首先在08DC中開啟ADSIEdit編輯器,定位到如下圖位置:       
1        在“CN=Password Settings Container”節點右鍵選擇新建,在彈出視窗中選擇“msDS-PasswordSettings”類別,如下圖所示:        2        在緊接的視窗中為新建的Password Settings objects輸入一個名稱,如下圖所示:       3       在彈出視窗中為msDS-PasswordSettingsPrecedence屬性設定一個值,該屬性為優先順序設定,如果域中有多個密碼策略直接與使用者連結,將應用優先權值最小的策略,如下圖所示:       4       在彈出視窗為msDS-PasswordReversibleEncryptionEnabled
屬性設定一個布林值,可以設定FALSE / TRUE,該屬性在組策略中對應“用可還原的加密來儲存密碼”設定,在此設定FALSE後單擊“下一步”,如下圖所示:       5       在彈出視窗為msDS-PasswordHistoryLength屬性設定一個值,該屬性在組策略中對應“強制密碼歷史”設定,可用值的範圍為0-1024,在此設定後單擊“下一步”,如下圖所示:       6       在彈出視窗中為msDS-PasswordComplexityEnabled屬性設定一個布林值,可以設定FALSE / TRUE,該屬性在組策略中對應“密碼必須符合複雜性要求”設定,在此設定為啟用,單擊“下一步”,如下圖所示:      
7        在彈出視窗中為msDS-MinimumPasswordLength屬性設定一個值,可用值範圍為0-255,該屬性在組策略中對應“密碼長度最小值”設定,在輸入框中設定後單擊“下一步”,如下圖所示:       8       在彈出視窗中為msDS-MinimumPasswordAge屬性設定一個值,該屬性在組策略中對應“密碼最短使用期限”設定,時間格式為“00:00:00:00”,在此設定為1天,1:00:00:00,設定後單擊“下一步”,如下圖所示:       9       在彈出視窗中為msDS-MaximumPasswordAge屬性設定一個值,該屬性在組策略中對應“密碼最長使用期限”,時間格式同上,設定後單擊“下一步”,如下圖所示:       10       在彈出視窗中為msDS-LockoutThreshold屬性設定一個值,該屬性在組策略中對應“帳戶鎖定閾值”,可用值範圍為0-65535,設定後單擊“下一步”,如下圖所示:       11        在彈出視窗中為msDS-LockoutObservationWindow屬性設定一個時間值,格式與前面設定的時間格式一致,該屬性在組策略中對應“復位帳戶鎖定計數器”設定,在此設定為30分鐘,設定後單擊“下一步”,如下圖所示:       12       在彈出視窗中為msDS-LockoutDuration屬性設定一個時間值,格式同上,該屬性在組策略中對應“帳戶鎖定時間”設定,設定後單擊“下一步”,如下圖所示:       13       在完成視窗中單擊“完成”,如下圖所示:       14       至此,一個自定義的密碼和帳戶鎖定策略已經建立完成, 那麼如何應用在一些帳戶上面呢?我們還需要進行下面幾步簡單操作...       在上面操作後返回的ADSIEdit中雙擊剛才建立好的Password Settings objects 物件,在彈出的屬性編輯視窗中找到 msDS-PSOAppliesTo屬性,單擊“編輯”,如下圖所示:       15       在彈出的視窗中選擇應用此Password Settings objects的目標物件,在此選擇已經事先建立好的test全域性安全組,選擇完成後單擊“確定”,如下圖所示:       16        到這一步,策略已經應用到上面所選擇的組中了,只要是屬於test組中的成員就會應用上面所建立的密碼和帳戶鎖定策略,下面來測試一下結果,開啟 ADUC,先來測試一個沒有屬於test組的使用者,右擊user1帳戶,選擇重置密碼,輸入123後單擊確定,如下圖所示:       17       18    從上面截圖可以看到user1帳戶的密碼已經被重置成功,因為之前已經將Default Domain Policy設定成禁用密碼複雜性和最小密碼長度為0,所以可以使用這種簡單的密碼,現在將user1帳戶加入到test組中,如下圖所示:      19   下面再來使用簡單的密碼來重置一下,截圖如下:   20   可以看到user1加入test組之後立即應用上前面所建立的策略,現在已經不能夠使用之前的簡單密碼策略。

相關推薦

Windows Server 2008配置密碼策略鎖定策略

在windows 2000和windows 2003的活動目錄域中,我們只能夠在Default Domain Policy中為所有使用者配置應用一個密碼策略和帳戶鎖定策略,如果我們需要為一些特殊的使用者制定不同的密碼和帳戶鎖定策略,我們只能夠通過建立新域的方法,因為以前一個域

Windows Server 2008 iis反向代理設置

www post ads 域名 設置 orm 技術分享 ref 兩個 1、安裝 IIS(Windows專業版自帶,如果是server版系統,需要通過功能管理器安裝(無需下載)) urlrewrite插件,https://www.iis.net/downloads/mic

windows server 2008安裝bitnami-Redmine-3.1.1-1可能遇到的問題

    15人以內的小公司,需要選擇一個bug Tracker工具,要求要介面簡潔,容易上手,滿足buglist的基本功能:包含report bug, list all bug, assign to a

Windows server 2008 拒絕共享資源使用者的本地登入

有時伺服器的印表機或檔案需要共享,這時我們可以在本地使用者和組中新建一個使用者,區域網內的其他人可通過這個使用者帳戶來共享印表機,這時問題出現了,任何人掌握了這個帳戶就可以用這個帳戶在本地登入你的電腦,這確實很危險。 之所以如此,是因為在windows server 2

Windows Server 2008禁止IPv6選項

開始 -> 執行 - > 輸入 Regedit 進入登錄檔編輯器 定位到:  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters]   右鍵點選 Parameters,選擇

Windows Server 2008 R2 配置AD(Active Directory)域控制器(圖文教程)

點評:Windows Server 2008 R2 配置AD(Active Directory)域控制器: 配置環境,配置DNS伺服器,配置Active Directory 域服務,C# AD(Active Directory)域同步 組織單位、使用者等資訊查詢等等需要了解的朋友可以參考下 - 目

Windows Server 2008使用計劃任務定時執行BAT bat進行PHP指令碼的執行

一、首先進行工作管理員設定  每隔1分鐘執行.BAT 檔案配置 首先Windows Server 2008不同於其他伺服器作業系統和Windows Server 2003有著很大的區別,計劃任務的名稱是“任務計劃程式”不在控制面板裡,而是在“管理工具”裡。 由於伺服器需要做

Windows Server 2008PowerShell的使用

Windows server 2008的很多新特性,令人印象深刻的功能,基本在http://e.chinabyte.com/winserver/上可以找齊了,那我就不寫重複的了,這兒寫一篇Windows Server 2008中與以往不同的windows指令碼的文章。如下:

Windows Server 2008直接安裝KIS8.0若干版本

在Windows Server 2008下均可直接安裝KIS8.0的若干版本,包括422 357需要去掉***後安裝。但安裝完成重啟系統後,可能會造成2008系統在進度條或者登陸系統的過程中重啟,造成這個的原因 可能是你的PC帶有DEP功能,KIS8可能與DEP有衝突。 解

Windows Server 2008 R2 配置Exchange 2010郵件伺服器並使用EWS傳送郵件

using System; using System.Net; using System.Net.Security; using System.Security.Cryptography.X509Certificates; using ExchangeEWS.com.adserv.mail; names

Windows Server 2008 R2 Server,上傳視頻遇到的問題(二)

content 修改 strong 報錯 con 節點 fail get tle 上一篇 在Windows Server 2008 R2 Server中,上傳視頻遇到的問題(一)中遇到上傳40M視頻報404,然後修改配置文件節點: <httpRuntime tar

windows server 2008 64位MySQL5.6免安裝版本配置說明

zip mage 系統 9.png 技術 版本 變量 成功 過程 1 通過官網下載MySQL5.6版本壓縮包,mysql-5.6.36-winx64.zip; 2 在D盤創建目錄,比如D:\MySQL,將mysql-5.6.36-winx64.zip解壓縮到該目錄下,如下

Windows Server 2008 R2 Server,連接其他服務器的數據庫遇到“未啟用當前數據庫的 SQL Server Service Broker,因此查詢通知不受支持。如果希望使用通知,請為此數據庫啟用 Service Broker ”

lba pos 數據庫名 nbsp bsp enable 輸入 images logs 項目代碼和數據庫部署在不同的Windows Server 2008 R2 Server中,錯誤日誌顯示如下: "未啟用當前數據庫的 SQL Server Service Broker,因

Windows Server 2008 R2提示密碼即將過期怎麽辦?

Windows server 2008 密碼過期 由於server 2008有較高的安全性,所以系統會定期的提醒用戶修改密碼,如下所示:如何解決這樣問題不讓它過期不讓它提示呢?可以按照如下步驟操作:1、打開“服務器管理器”,選擇“配置”-“本地用戶和組”-“用戶”2、右擊administrator,選

Windows Server 2008在MMC申請多域名證書

多域名證書 windows server 2008 隨著IT的不斷發展,對於安全性的要求越來越高,所以安全加密和身份驗證在IT的應用中越來越多,證書在加密和身份演證中扮演著至關重要的作用。在很多的應用場景中,會使用都多域名的證書。下面的步驟就是如何在MMC中申請多域名證書: 在 Windows Se

Windows Server 2008遺忘管理員密碼後的解決方法

windows server 2008 管理員密碼 思路是這樣的:修改登錄界面其他功能的鏈接,使之成為 CMD 的鏈接,在 CMD 命令裏面定位到 C:\\Windows\System32 下,用 net user 去修改賬號和密碼具體操作如下:一、使用Windows Server 2008 R2的安

在虛擬機器安裝Windows Server 2008

一、建立虛擬機器 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 點選 "自定義硬體" 15. 刪除不必要的硬

如何在Windows Server 2008伺服器把Tomcat啟動程式新增到服務

在部署測試伺服器時,有的學員問Tomcat作為應用伺服器使用,但部署在windows server 2008環境下後,啟動應用需要在介面上留下一個CMD視窗,有時可能會被別人誤關閉。還不能自啟動,遇到這樣的問題很是頭疼,那麼接下來我們將講一個好用的方法,該方法將啟動新增到服務中,能保證服務不會被別人誤停。

Windows Server 2008伺服器上訪問SQL Server異常慢(SQL資料庫設定為空密碼情況下)

這兩天把工作主機從Windows Server 2003 R2 換成了 Windows Server 2008 R2  , 在連線遠端 SQL SERVER 2000  中,如果SQL資料是空密碼,就會異常慢或連線不上。如: 企業管理器 註冊網路SQL SERVER 時,異常

(四)Windows Server 2008 R2遠端桌面服務配置授權啟用

日常工作中,經常需要遠端連線到伺服器上,然而伺服器系統預設允許同時連線的最大連線數只有2個。這樣一來,問題就來了,常常遇到“終端伺服器超出最大連線數”,導致無法正常登陸伺服器。那麼如何才能解決這一問題呢?這就要依靠遠端桌面服務了。 一、 遠端桌面服務安裝和配置 伺