精通Windows Server 2008多元密碼原則之ADSIEDIT篇

前言

眾所周之，目錄伺服器DC的安全性至關重要，而密碼的保護又是安全性保護中很重要的一環。為活動目錄製定密碼原則可以減少人為的和來自網路入侵的安全威脅，保證活動目錄的安全。AD管理員應該都知道，在Windows2000/2003上，密碼原則只能指派到域(Site)上，不能單獨應用於活動目錄中的對象。換句話說，密碼原則在域層級起作用，而且一個域只能有一套密碼原則。 統一的密碼原則雖然大大提高了安全性，但是提高了域使用者使用的複雜度。舉個例子來說，企業管理員的帳戶安全性要求很高，需要超強策略，比如密碼需要一定長度、需要每兩周變更管理員密碼而且不能使用上幾次的密碼;但是普通的域使用者並不需要如此高的密碼原則，也不希望經常更改密碼並使用很長的密碼，超強的密碼原則並不適合他們。

為解決這個問題，在Win2008中引入了多元密碼原則(Fine-Grained Password Policy)的概念。多元密碼原則允許針對不同使用者或全域安全性群組應用不同的密碼原則，例如:

A.可以為Administrator 群組指派超強密碼原則，密碼16位以上、兩周到期;

B.為服務帳號指派中等密碼原則，密碼30天到期，不配置密碼鎖定策略;

C.為普通域使用者指派密碼90天到期等。

多元密碼原則的誕生，滿足了不同使用者對於安全性的不同要求。多元密碼原則雖然滿足了不同層級使用者對於密碼安全性的要求，但是配置多個密碼原則為管理員增加了管理複雜度，管理起來也不是很方便，所謂魚和熊掌不可兼得。而我寫這篇文章的初衷就是幫朋友儘快熟悉起這個功能，魚和熊掌，我欲兼得！

部署注意點

多元密碼原則部署要求有以下幾點：

A. 所有網域控制站都必須是Windows Server 2008；

B. 域功能層級為2008 Domain Functional Mode；如下圖1所示：

圖1

C. 用戶端無需任何變更；

D. 如果一個使用者和組有多個密碼設定物件（PSO，可以把PSO理解為和組策略對象GPO類似，通俗的理解為就是一條條的密碼原則），那麼優先順序最小的PSO將最終生效;

E. 可以使用ADSIEDIT或者LDIFDE或者第三方工具進行管理;

F. 多元密碼原則只能應用於活動目錄中的使用者和全域安全性群組，而不能應用於活動目錄中的電腦對象、非域內使用者和組織單元OU。

實戰

理論知識囉嗦了一大籮筐了，接下來我將通過實戰方式向大家介紹如何通過ADSIEDIT、LDIFDE以及第三方工具FGPP、Quese公司出品的針對AD的PowerShell來實現、管理多元密碼原則。由於本系列文章涉及到的方法比較多，為了讓大家在操作的時候有一個清晰的思路，我將主要的操作步驟寫出來：

步驟 1：建立 PSO

步驟 2：將 PSO 應用到使用者和/或全域安全性群組

步驟 3：管理 PSO

步驟 4：查看使用者或全域安全性群組的結果 PSO

步驟5：驗證結果

Ⅰ. ADSIEDIT

步驟1：建立PSO

1.

在DC上開啟“活動目錄使用者和電腦”，建立一個名為”TestOU”的OU，然後在該OU裡面建立一個名為張三的使用者和一個名為PSOGroup的全域安全性群組，再把張三加入該組中。如圖2.

圖2

2.

再在DC上輸入adsiedit.msc，按照如圖所示展開至CN=Password Settings Container。如圖3所示。並在上面右擊選擇建立對象，如圖4.

圖3

圖4

3.

（接下來請完全按照圖示來操作）出現建立對象視窗，如圖5，類別只有一個密碼設定，點擊下一步。

圖5

4.

接下來為PSO取個有意義的名字，便於自己管理。例如我就取“AdminPSO”，如圖6所示。

圖6

5.

接下來修改msDS-PasswordSettingsPrecedence屬性，也就是設定密碼的優先順序，儘管此處可以輸入零或者負數，但是要想真正生效的話，此處輸入的數值必須大於零。前面說過，數值越小，優先順序越高。我就輸入1，如圖7所示。

圖7

6.

接下來修改msDS-PasswordReversibleEncryptionEnabled屬性，也就是是否啟用使用者帳戶的密碼可還原的加密狀態。可接受輸入的值為FALSE/TRUE。為了安全著想（開啟後可以用工具逆向DUMP出使用者的密碼），如果沒有特殊需求，建議設定為FALSE。如圖8.

圖8