Windows Server 2012 R2多元密碼PSO策略實戰篇

前提條件：

系統檢查，域及林的功能級別在windows2008以上，如是windows2003，是不支持PSO設定的，參考MS資料

http://technet.microsoft.com/zh-cn/library/cc754461(v=ws.10).aspx

嚴格的密碼和帳戶鎖定策略的要求和特殊注意事項

· 域功能級別：

重要事項

爲了讓嚴格的密碼和帳戶鎖定策略在給定域中正常運行，必須將該域的域功能級別設置爲 Windows Server 2008。

對整個2003域做密碼安全設置，參見：

http://technet.microsoft.com/zh-cn/library/cc875814.aspx

對windows2003域環境熟悉的朋友都知道，在這樣的域環境內我們只能維持一套密碼策略，而windows2012的域環境，爲我們提供了一個新功能：多元密碼策略或顆粒化密碼策略（Fine-Grained Password Policies），它可以讓我們在一個域環境內實現多套密碼策略。不過在進行實戰之前，我們還得先講解一些理論。

以前：

2003以前的域環境，我們可以通過組策略在域級別上實施密碼策略，一般我們都是通過編輯“Default Domain Policy ” 來實現，如下圖所示：

在這裏不做過多的演示。

注意關鍵點：域級別、組策略。

如果你對相應的OU創建並編輯GPO，設置相應的“密碼策略”，則這個設置只能對該OU內的計算機的本地用戶的密碼策略生效。

現在：

在Windows2012的域環境裏，我們不但可以像以前的03域環境一樣，我們還可以針對用戶或全局安全組設置相應的用戶密碼策略！這樣就相當於我們可以針對不同的部門實施不同的密碼策略了，當然，你最好把不同的部門用戶加入到不同的全局組內。這應該不難，爲相應的部門創建OU，異或再建全局組，再把部門用戶帳號加入該全局組，這是我們推薦的方式。所以你要做的就是針對不同的特殊部門組創建密碼策略就可以了。

這要是在以前，可能麻煩了，也許你就要爲這個部門單獨創建一個子域了，即便不創建子域，實現起來也是很複雜的。

注意關鍵點：

應用對象：用戶、全局安全組（而非OU、域）    
部署要求：全部DC爲2012、域模式爲win2012。

部署工具：使用ADSIEDIT、LDIFDE、第三方工具（推薦）

我們可以針對一個用戶或一個全局組設置多個密碼策略，因此對於優先級的問題：

1. 用戶級別密碼策略>全局組級別密碼策略>域級別密碼策略

2. 同一級別，如用戶，關聯多個PSO（Password-Setting-Object）時，優先（Precedence）值最小的生效！

而最終判斷原則，上述兩點中，先判斷第一點，再判斷第二點。

下面我們用兩種方法來實現多元密碼策略的配置：

1. 利用ADSIEDIT工具。

2. 利用第三方工具（推薦）。

環境：dwcml.comm.cn域環境，dc.dwcml.comm.cn是DC，我們的操作就是DC上進行的。

一、使用ADSIEDIT配置多元密碼策略：

三個步驟：  
（一）使用ADSIEDIT創建密碼設置對象（PSO）    
（二）針對用戶或組應用PSO    
（三） 驗證用戶的PSO應用

分步解析：

（一）使用ADSIEDIT創建密碼設置對象（PSO）

開始--搜索-輸入adsiedit.msc後，如下所示：

單擊連接後，如下圖：

保持默認，單擊“確定”如下圖所示，找到對應的pso，在其上右擊，選擇新建對象，如下：

下圖中，我們爲PSO取一個名字：

下圖是設置優先值，在這裏值越小，越優先！！

下圖是設置“是否用可還原的加密來存儲密碼”，我們選擇否。

下圖是密碼歷史，我們選擇3次。

下圖是“選擇是否啓用密碼複雜性”，我們選擇否。

下圖是“最小密碼長度”，我們選擇8，即最短8個字符長度。

下圖是“密碼最短使用期限”，我們選擇一天。但格式必須是d:h:m:s（天：小時：分：秒）。

下圖是“密碼最長使用期限”，格式同上。

下圖是“密碼鎖定閾值”，我們設置5次輸錯就鎖住。

下圖是“復位帳戶記數器”的時間，我們設置20分鐘後，計數器清0，格式D:H:M:S。

下圖是“密碼鎖定時間”，我們也設置20分鐘，即20分鐘後解鎖。

最後如下圖所示：如果單擊完成，出現錯誤，可以有針對性的修改，一般出錯，往往是前面輸入格式有問題，可以回退修改即可。

我們剛纔所創建的PSO如下所示， 我們可以在其上右擊，選擇屬性，對其上設置進行二次修改，或添加相關聯的用戶或全局安全組。

（二）針對用戶或組應用PSO：

如上圖所示，單擊“屬性”後，並添加相應的用戶或全局安全組，如下：

選擇如上圖所示的屬性後，單擊“編輯”，如下圖並添加相應的USER001用戶或全局組名。最後單擊確定完成全局組的添加， 在這裏也可以添加用戶。此處就略了。

（三）驗證用戶的PSO應用：

我們修改這個的用戶user001的密碼，如下圖所示過程：

上圖是因爲我輸入的密碼長度太短造成的（不滿足本策略的8位），當然細心的朋友可以看到了（本文第一圖）我把域的密碼策略的密碼長度改成了0（不限長度），因此這個提示是因爲我們剛纔所創建的策略所致。

小結：你可以針對不同的用戶或全局組創建你所需要的密碼策略，使之真正的爲企業服務，從而提高企業的安全性。

使用第三方工具Fine Grain Password Policy Tool Beta 2創建PSO

相對於使用Adsiedit.msc建立PSO的方法，Fine Grain Password Policy Tool Beta 2提供了更爲直觀方便快捷的圖形用戶操作界面，同時它能很直觀查看對象策略結果。

Fine Grain Password Policy Tool Beta 2分爲X64和X86兩個版本，安裝過程略

通過利用ADSIEDIT在域內實施多元密碼策略的部署，我們發現比較麻煩，而且有時出錯的可能性還很大，比如有關項目的設置格式等，讓初學者感覺很複雜，其實微軟增加這項功能無非是應用，我們會用就行了，今天我給各位帶來的就是一個牛人開放的工具，推薦給各位，相信它會輕鬆的實施我們的多元密碼策略。