算机的本地 SAM。
另一个误解是,在根域(ActiveDirectory林的初始域)中建立的帐户策略设置将向下流动或继承到林中的子域。这同样并非事实,通过这种方式是无法使设置起作用的。链接到域和某个域中OU的GPO不会影响其他域中的对象,即使 GPO 链接到的域是根域也是一样。使 GPO 设置影响其他域中对象的唯一方法是将GPO链接到ActiveDirectory 站点。
密码策略的改变
可以看到,Windows的当前版本处理用户帐户密码的方式简单直观。这包括一组适用于所有域帐户的密码规则,以及通过链接到ActiveDirectory中域节点的组策略对象来管理帐户策略的方式。随着Windows Server2008的到来,这一切就都被判出局了。
Windows Server 2008 以及一同推出的ActiveDirectory基础结构采用了另一种方法。将帐户策略置于GPO中只允许对所有域用户帐户设置一种策略,而现在已将这些设置移到了ActiveDirectory的更深部分。此外,帐户策略也不再基于计算机帐户。现在,您可以让个人用户和用户组来控制其密码限制。对于Windows管理员来说,这是一个全新的概念,毕竟我们长期以来一直在处理计算机帐户的帐户策略。
Windows Server 2008 中的帐户策略
在 Windows Server2008中,无需使用默认域策略建立帐户策略。实际上,您根本不会使用GPO为域用户帐户创建帐户策略。在 Windows Server2008中,会将您带到 ActiveDirectory数据库中进行修改。具体来说,您将使用一个类似于 ADSIEdit的工具来修改ActiveDirectory对象及其关联的属性。
进行此更改的原因是组策略并非针对同一域中的多个密码而设计。在WindowsServer2008中,每个域实现多个密码的功能非常棒,但并非每个人都觉得该功能使用起来很方便。不过,随着时间的推移,用于配置设置的界面将越来越易于访问。现在,您需要采用ActiveDirectory数据库设置工具对系统进行更改。
如果您倾向于使用其他方法来修改帐户策略设置,则不必使用ADSIEdit。您可以使用能够访问ActiveDirectory数据库的任何其他 LDAP 编辑工具,甚至可以使用脚本。在WindowsServer2008中实现密码策略后,就需要使用与过去截然不同的方法了。使用新功能意味着您需要考虑哪些用户和组要接受哪些密码设置。
您不但要考虑密码长度,还要考虑密码策略设置附带的其他一些限制,包括最短和最长使用期限、历史等。其他注意事项包括如何控制用户锁定策略设置和Kerberos设置。当前的帐户策略设置与在WindowsServer 2008中的ActiveDirectory数据库中配置的帐户策略设置存在一对一关系。但请注意,既然这些策略设置已是ActiveDirectory对象和属性,那么每个策略设置的名称也会与以前不同,这很重要。
要实现新密码设置,必须在密码设置容器下创建一个名为msDS-PasswordSettings的密码设置对象(PSO),该容器的LDAP路径为“cn=PasswordSettings,cn=System,dc=domainname,dc=com”。请注意,所用域的域功能级别必须设置为WindowsServer2008。在此新对象下,您需要填写若干属性信息,如图3 所示。
Figure 3 Password attributes in Active Directory
Active Directory 属性名属性描述
msDS-PasswordSettingsPrecedence当同一用户在使用不同密码策略的多个组中具有成员资格时,建立优先次序。
msDS-PasswordReversibleEncryptionEnabled在是否启用可逆加密之间切换。
msDS-PasswordHistoryLength确定中间必须隔有多少个不重复的密码后,才能重用某个密码。
msDS-PasswordComplexityEnabled确定密码要求使用的字符数目和字符类型。
msDS-MinimumPasswordLength确定最短密码长度。
msDS-MinimumPasswordAge确定用户密码最短9
7
3
1
2
3
4
8
:
本文来源:不详 作者:佚名