中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

在域中配置多元密碼策略

發布時間:2020-05-29 13:52:28 來源:網絡 閱讀:2918 作者:yttitan 欄目:系統運維

任務要求

WorldSkills2017.china域里的所有用戶密碼都要求啟用密碼復雜性,除了sales組。sales組密碼長度要求最少3位。

任務分析

世賽的難度還是比較大的,每一道題目雖然只有短短幾句話,但卻暗藏著一個巨大的坑,這道題目就是典型。
在默認的域策略Default Domain Policy里,本身已經啟用了密碼復雜性,題目要求對某個組再設置單獨的密碼策略,起初本能的想到對這個組單獨設置組策略,但細究下去卻發現,如果使用組策略,那么是無論如何也完成不了這個任務的。
百度了一番才知道,原來從Windows Server 2008系統開始,在域中引入了多元密碼策略(Fine-Grained Password Policy)的概念,通過多元密碼策略允許針對不同用戶或全局安全組應用不同的密碼策略,而這正是解開這道題目的正確鑰匙。
在Windows Server 2008之前的系統中,密碼策略只能指派到域或站點上,不能單獨應用于活動目錄中的對象。換句話說,密碼策略在域級別起作用,而且一個域只能有一套密碼策略。統一的密碼策略雖然大大提高了安全性,但是提高了域用戶使用的復雜度。舉個例子來說,企業管理員的帳戶安全性要求很高,需要超強策略,比如密碼需要一定長度、需要每兩周更改管理員密碼而且不能使用上幾次的密碼;但是普通的域用戶并不需要如此高的密碼策略,也不希望經常更改密碼或是使用很長的密碼,超強的密碼策略并不適合他們。
為解決這個問題,在Windows Server 2008中引入了多元密碼策略,從而滿足不同用戶對于安全性的不同要求。
多元密碼策略部署要求有以下幾點:
A. 必須把域功能級別提升為windows Server 2008以上;
B. 如果一個用戶和組有多個密碼設置對象PSO(可以把PSO理解為和組策略對象GPO類似,通俗的理解為就是一條條的密碼策略),那么優先級最小的PSO將最終生效;
C. 多元密碼策略只可以應用在用戶與安全組上,不能應用到計算機上,同時也不能直接應用到OU上。

任務實現

要實現多元密碼策略,主要是通過ADSI編輯器。打開ADSI編輯器,按照如圖所示展開至CN=Password Settings Container,并在上面右擊,選擇新建對象。
在域中配置多元密碼策略
然后出現新建對象窗口,類別只有一個密碼設置,點擊下一步
在域中配置多元密碼策略
接下來為PSO取個有意義的名字,便于自己管理。
在域中配置多元密碼策略
接下來修改msDS-PasswordSettingsPrecedence屬性,設置密碼的優先級,數值越小,優先級越高,這里設為1。
在域中配置多元密碼策略
接下來修改msDS-PasswordReversibleEncryptionEnabled屬性,可接受輸入的值為false/true。這項屬性用于設置是否啟用密碼可還原加密功能,開啟后可以用工具逆向還原出用戶的密碼,如果沒有特殊需求,建議設置為false。
在域中配置多元密碼策略
接下來修改msDS-PasswordHistoryLength屬性,即強制密碼歷史,默認是24個,因為題目并沒有明確要求,這里隨意設置為3個歷史密碼不能重復。
在域中配置多元密碼策略
接下來修改msDS-PasswordComplexityEnabled屬性,即是否啟用密碼復雜性要求,這里設為false。
在域中配置多元密碼策略
接下來修改msDS-MinimumPasswordLength屬性,設置最短密碼長度,這里按題目要求設置為3。
在域中配置多元密碼策略
接下來修改msDS-MinimumPasswordAge屬性,設置密碼最短使用期限,要求輸入格式為00:00:00:00,這4段分別表示“天、小時、分、秒”,而且只可以輸入1天的整數倍,默認是使用1天后才能再次更改密碼。這里輸入00:00:00:00,也就是可以立即更改密碼。
在域中配置多元密碼策略
接下來修改msDS-MaximumPasswordAge屬性,設置密碼最長使用期限,默認是42天,這里采用默認值。
在域中配置多元密碼策略
接下來修改msDS-LockoutThreshold 屬性,即用戶帳戶的鎖定閾值,默認沒有限制,這里設置為輸入3次錯誤密碼就自動鎖定。
在域中配置多元密碼策略
接下來修改msDS-LockoutObservationWindow屬性,即多長時間復位帳戶鎖定計數器,這里設置為30分鐘后復位。
在域中配置多元密碼策略
接下來修改msDS-LockoutDuration屬性,也就是設置鎖定用戶帳戶的持續時間,這里輸入鎖定30分鐘,需要注意此項數值一定要大于等于msDS-LockoutObservationWindow屬性的數值。
在域中配置多元密碼策略
點擊下一步之后,PSO創建完成。
在域中配置多元密碼策略
編輯完成后,打開屬性編輯器,找到msDS-PSOAppliesTo屬性,通過該屬性可以設置將PSO應用到哪些用戶或是組。
在域中配置多元密碼策略
設置屬性,添加sales組。
在域中配置多元密碼策略
至此配置完成,并且可以立即生效。嘗試為sales組中的用戶重置密碼,可以成功設置長度為3位的密碼了。
在域中配置多元密碼策略

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

淮阳县| 新田县| 惠安县| 平安县| 阳高县| 观塘区| 潜江市| 大渡口区| 涡阳县| 泗洪县| 册亨县| 星子县| 桑日县| 光山县| 唐山市| 大连市| 南郑县| 辽宁省| 淮阳县| 孝昌县| 六盘水市| 遵化市| 南和县| 朔州市| 锡林浩特市| 湖北省| 沅江市| 怀集县| 涡阳县| 武强县| 福贡县| 中方县| 望江县| 黑龙江省| 开原市| 托克逊县| 台东县| 海南省| 锡林浩特市| 嘉峪关市| 淅川县|