在听到女人抱怨世上没有一个好男人时候,男人的感觉是五味杂陈的。听同事抱怨密码太复杂、太麻烦的时候,网管员的心是哇凉悲催的。在活动目录(Active Directory)中启用复杂性的密码策略,比如密码需要一定长度、需要经常更改管理员密码、不能使用上几次的密码……这些都可以提高整网络的安全防护能力。但有时候,如果是普通的用户可能并不需要这样强大的密码安全策略,而企业管理员的帐户却又需要用超强的密码策略提升安全性。另一方面,对于一些服务账户(比如Exchange server,SQL server系统账户),我们需要它的密码长度很长很复杂,但是又不能有锁定阀值,倘若一旦有人恶意猜测导致锁定服务,那么也是一种拒绝服务的攻击方式。
历史长河中,使用Windows Server 2000和Server 2003的管理员根本无法提供这种分开来设置的个性化密码策略。这是因为密码策略只能指派到域(Site)上,不能单独应用于活动目录中的对象。换句话说,密码策略在域级别起作用,而且一个域只能有一套密码策略。为解决这个问题,微软在Windows server 2008的ADDS中引入了多元密码策略(Fine-Grained Password Policy)的概念,这允许针对不同用户或全局安全组应用不同的密码策略。
这项更新的背后,却真是考验管理员的耐性。不但要学会使用ADSIEdit以便能够修改msDS-MinimumPasswordAge一类对象的属性,还必须在使用LDIFDE工具前学会“负PSO 属性值”的计算,当然,如果你是PowerShell的高手则需要另说了。这些工具在创建和管理密码设置时非常的难用,以至于某些管理员宁愿去创建新的域也不愿使用多元密码策略。
在新一代的Windows Server 8 中,ADDS 针对管理员日常操作最大的改变则是便捷性,下面就以更新后的多元密码策略(也有直接翻译为:颗粒化密码协议)为例,看一下Windows Server 8在ADDS中的改变:
Step1:打开“活动目录管理中心”,在左侧选择本地域节点,检查之前建立的一个名为salesuser1的用户,如图1所示,此用户的状态为禁用。
图1 检查用户状态
Step2:此时,我们选择启用帐户将会弹出“无法启用,密码不符合域密码策略”的提示,如图2所示。
图2: 未能启用该帐户
Step3:在本地域下依次展开“System容器”,找到“Password Settings Container”,在右侧任务窗口中选择“新建”-“密码设置”,如图3所示。
图3 新建密码策略
Step4:输入新创建密码设置的名称和优先级(优先级数字低的密码设置将将覆盖数值高的密码设置),然后针对需求取消密码长度、期限和锁定选项,如图4所示。
图 4 创建密码设置
Step5:在下方“直接应用到”的任务中,点击“添加”,查找需要使用新密码设置的用户或组,然后点击“确定”,如图5所示。
图 5 选择用户或组用于密码设置
Step6:在用户列表中,我们可以检查新的密码策略是否有效,可以选择启用该帐户,并选择重置密码,输入较为简单的密码。
Windows Server的每个新版本都会对Active Directory做出改动,通常是在性能上进行一些微调,有时也会对诸如管理控制台进行革新。通过以上简单的几步操作,管理员现在可以很对不同的应用、不同的用户需求,设置多样化的密码策略了。在这个彰显个性的时代,Windows Server 8的改变正是让管理员可以更简便操作他的领域。
历史长河中,使用Windows Server 2000和Server 2003的管理员根本无法提供这种分开来设置的个性化密码策略。这是因为密码策略只能指派到域(Site)上,不能单独应用于活动目录中的对象。换句话说,密码策略在域级别起作用,而且一个域只能有一套密码策略。为解决这个问题,微软在Windows server 2008的ADDS中引入了多元密码策略(Fine-Grained Password Policy)的概念,这允许针对不同用户或全局安全组应用不同的密码策略。
这项更新的背后,却真是考验管理员的耐性。不但要学会使用ADSIEdit以便能够修改msDS-MinimumPasswordAge一类对象的属性,还必须在使用LDIFDE工具前学会“负PSO 属性值”的计算,当然,如果你是PowerShell的高手则需要另说了。这些工具在创建和管理密码设置时非常的难用,以至于某些管理员宁愿去创建新的域也不愿使用多元密码策略。
在新一代的Windows Server 8 中,ADDS 针对管理员日常操作最大的改变则是便捷性,下面就以更新后的多元密码策略(也有直接翻译为:颗粒化密码协议)为例,看一下Windows Server 8在ADDS中的改变:
Step1:打开“活动目录管理中心”,在左侧选择本地域节点,检查之前建立的一个名为salesuser1的用户,如图1所示,此用户的状态为禁用。
图1 检查用户状态
Step2:此时,我们选择启用帐户将会弹出“无法启用,密码不符合域密码策略”的提示,如图2所示。
图2: 未能启用该帐户
Step3:在本地域下依次展开“System容器”,找到“Password Settings Container”,在右侧任务窗口中选择“新建”-“密码设置”,如图3所示。
图3 新建密码策略
Step4:输入新创建密码设置的名称和优先级(优先级数字低的密码设置将将覆盖数值高的密码设置),然后针对需求取消密码长度、期限和锁定选项,如图4所示。
图 4 创建密码设置
Step5:在下方“直接应用到”的任务中,点击“添加”,查找需要使用新密码设置的用户或组,然后点击“确定”,如图5所示。
图 5 选择用户或组用于密码设置
Step6:在用户列表中,我们可以检查新的密码策略是否有效,可以选择启用该帐户,并选择重置密码,输入较为简单的密码。
Windows Server的每个新版本都会对Active Directory做出改动,通常是在性能上进行一些微调,有时也会对诸如管理控制台进行革新。通过以上简单的几步操作,管理员现在可以很对不同的应用、不同的用户需求,设置多样化的密码策略了。在这个彰显个性的时代,Windows Server 8的改变正是让管理员可以更简便操作他的领域。
广告合作:本站广告合作请联系QQ:858582 申请时备注:广告合作(否则不回)
免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
暂无评论...
更新日志
2024年11月25日
2024年11月25日
- 凤飞飞《我们的主题曲》飞跃制作[正版原抓WAV+CUE]
- 刘嘉亮《亮情歌2》[WAV+CUE][1G]
- 红馆40·谭咏麟《歌者恋歌浓情30年演唱会》3CD[低速原抓WAV+CUE][1.8G]
- 刘纬武《睡眠宝宝竖琴童谣 吉卜力工作室 白噪音安抚》[320K/MP3][193.25MB]
- 【轻音乐】曼托凡尼乐团《精选辑》2CD.1998[FLAC+CUE整轨]
- 邝美云《心中有爱》1989年香港DMIJP版1MTO东芝首版[WAV+CUE]
- 群星《情叹-发烧女声DSD》天籁女声发烧碟[WAV+CUE]
- 刘纬武《睡眠宝宝竖琴童谣 吉卜力工作室 白噪音安抚》[FLAC/分轨][748.03MB]
- 理想混蛋《Origin Sessions》[320K/MP3][37.47MB]
- 公馆青少年《我其实一点都不酷》[320K/MP3][78.78MB]
- 群星《情叹-发烧男声DSD》最值得珍藏的完美男声[WAV+CUE]
- 群星《国韵飘香·贵妃醉酒HQCD黑胶王》2CD[WAV]
- 卫兰《DAUGHTER》【低速原抓WAV+CUE】
- 公馆青少年《我其实一点都不酷》[FLAC/分轨][398.22MB]
- ZWEI《迟暮的花 (Explicit)》[320K/MP3][57.16MB]