Windows Server 8 ADDS輕鬆幾步搞定密碼個性化設置
在聽到女人抱怨世上沒有一個好男人時候,男人的感覺是五味雜陳的。聽同事抱怨密碼太複雜、太麻煩的時候,網管員的心是哇涼悲催的。在活動目錄(Active Directory)中啓用複雜性的密碼策略,比如密碼需要一定長度、需要經常更改管理員密碼、不能使用上幾次的密碼……這些都可以提高整網絡的安全防護能力。但有時候,如果是普通的用戶可能並不需要這樣強大的密碼安全策略,而企業管理員的帳戶卻又需要用超強的密碼策略提升安全性。另一方面,對於一些服務賬戶(比如Exchange server,SQL server系統賬戶),我們需要它的密碼長度很長很複雜,但是又不能有鎖定閥值,倘若一旦有人惡意猜測導致鎖定服務,那麼也是一種拒絕服務的***方式。
歷史長河中,使用Windows Server 2000和Server 2003的管理員根本無法提供這種分開來設置的個性化密碼策略。這是因爲密碼策略只能指派到域(Site)上,不能單獨應用於活動目錄中的對象。換句話說,密碼策略在域級別起作用,而且一個域只能有一套密碼策略。爲解決這個問題,微軟在Windows server 2008的ADDS中引入了多元密碼策略(Fine-Grained Password Policy)的概念,這允許針對不同用戶或全局安全組應用不同的密碼策略。這項更新的背後,卻真是考驗管理員的耐性。不但要學會使用ADSIEdit以便能夠修改msDS-MinimumPasswordAge一類對象的屬性,還必須在使用LDIFDE工具前學會“負PSO 屬性值”的計算,當然,如果你是PowerShell的高手則需要另說了。這些工具在創建和管理密碼設置時非常的難用,以至於某些管理員寧願去創建新的域也不願使用多元密碼策略。
在新一代的Windows Server 8 中,ADDS 針對管理員日常操作最大的改變則是便捷性,下面就以更新後的多元密碼策略(也有直接翻譯爲:顆粒化密碼協議)爲例,看一下Windows Server 8在ADDS中的改變:
Step1:打開“活動目錄管理中心”,在左側選擇本地域節點,檢查之前建立的一個名爲salesuser1的用戶,如圖1所示,此用戶的狀態爲禁用。
圖1 檢查用戶狀態
Step2:此時,我們選擇啓用帳戶將會彈出“無法啓用,密碼不符合域密碼策略”的提示,如圖2所示。
圖2: 未能啓用該帳戶
Step3:在本地域下依次展開“System容器”,找到“Password Settings Container”,在右側任務窗口中選擇“新建”-“密碼設置”,如圖3所示。
圖3 新建密碼策略
Step4:輸入新創建密碼設置的名稱和優先級(優先級數字低的密碼設置將將覆蓋數值高的密碼設置),然後針對需求取消密碼長度、期限和鎖定選項,如圖4所示。
圖 4 創建密碼設置
Step5:在下方“直接應用到”的任務中,點擊“添加”,查找需要使用新密碼設置的用戶或組,然後點擊“確定”,如圖5所示。
圖 5 選擇用戶或組用於密碼設置
Step6:在用戶列表中,我們可以檢查新的密碼策略是否有效,可以選擇啓用該帳戶,並選擇重置密碼,輸入較爲簡單的密碼。
Windows Server的每個新版本都會對Active Directory做出改動,通常是在性能上進行一些微調,有時也會對諸如管理控制檯進行革新。通過以上簡單的幾步操作,管理員現在可以很對不同的應用、不同的用戶需求,設置多樣化的密碼策略了。在這個彰顯個性的時代,Windows Server 8的改變正是讓管理員可以更簡便操作他的領域。