" title="Cloud700 快乐分享


0

AD用户密码颗粒度策略

编辑:管理员/ 栏目:Windows /发布于:2017年-1月-2日

我们需要修改ADSIEdit或者ADAC,具体步骤如下

1、打开ADSIEdit,连接到“默认命名上下文”中
选择“CN=System下的CN=Password Settings Container
2、在该容器的空白位置上新建一个全新对象
3、给新的密码策略命名
4、设置密码策略优先级,越小越优先
5、是否使用可还原的加密方式保存密码,一般为了安全性考虑,我们选择false
6、记住的历史密码个数
7、是否要求符合密码复杂度规则,为了安全,一般填写true
8、密码最小长度
9、密码最短使用时间,例:1天,我们要写1:00:00:00
10、密码最长使用时间,格式同步骤9
11、密码错误次数锁定阈值
12、用户账号复位计数(每一次密码输入错误计数器都会加1,在账户未被锁定之前,密码输入错误后30分钟内没有再次输错,计数器将会复位到0)
13、用户账号锁定时长
14、选择“更多属性”,并按下面的图片添加对应属性
15、创建成功
16、根据需求,添加特殊账号或者安全组使用该密码策略

msDS-PasswordSettingsPrecedence,设置密码策略的优先级,数值越小优先级越高,设置为"1"
msDS-PasswordReversibleEncryptionEnabled,设置是否启用"用可还原的加密来存储密码"策略,其值是个布尔值,可选择FALSE或者TRUE,在此我们设置为"FALSE"
msDS-PasswordHistoryLength,对应组策略中的"强制密码历史",可选范围是0-1024,我们设置为1
msDS-PasswordComplexityEnabled,对应组策略中的"密码必须符合复杂性要求",也是一个布尔值,我们设置为"true"
msDS-MinimumPasswordLength,设置密码长度最小值为
msDS-MinimumPasswordAge,设置密码最短使期限为1:00:00:00(1天);注意:格式按照 天:时:分:秒(dd:hh:mm:ss) 来写
msDS-MaximumPasswordAge,设置密码最常使用期限为120:00:00:00(90天);注意:不能设置为0天,否则最后会报错
msDS-LockoutThreshold,设置帐户锁定阀值为5,表示5次输错后锁定账户(可以范围0-65535)
msDS-LockoutObservationWindow,设置复位帐户锁定计数器为00:00:30:00(30分钟)
设置【重置账户锁定计数器】为【30】分钟,每一次密码输入错误计数器都会加1,根据上一步的设置,当计数器值为5时账户锁定,在账户未被锁定之前,密码输入错误后30分钟内没有再次输错,计数器将会复位到0
msDS-LockoutDuration,设置帐户锁定时间为0:00:30:00(30分钟)。即锁定的账户将在30分钟后解锁
在新建好的testpassword右键属性找到"msDS-PSOAppliesTo"添加安全组。

17、通过ADAC查看账号是否生效新的密码规则

本文由“Cloud700 快乐分享 > 管理员”整理编辑。


未注明为原创的文章以及每篇文章的评论内容都不代表本站观点,本站不对此内容的真实性及言论负责。如您发表评论意见,视为同意本站记录言论您的来源IP地址信息及发表时间。

如果喜欢这篇文章,欢迎订阅Cloud700 快乐分享以获得最新内容。

已经有 0 条群众意见