精通Windows Server 2008多元密碼原則之PowerShell篇

前言

在上兩篇文章《精通Windows Server 2008 多元密碼原則之ADSIEDIT篇》和《精通Windows Server 2008 多元密碼原則之LDIFDE篇》中我向大家介紹了如何通過ADSIEDIT工具、活動目錄使用者和電腦嵌入式管理單元和LDIFDE命令列工具建立、管理密碼設定物件PSO。在這篇文章中，我將向大家展示如何使用Quese公司出品的針對AD管理的PowerShell來實現、管理多元密碼原則。

按照慣例，為了讓大家在操作的時候有一個清晰的思路，我將主要的操作步驟寫出來：

步驟 1：建立 PSO

步驟 2：將 PSO 應用到使用者和/或全域安全性群組

步驟 3：管理 PSO

步驟 4：查看使用者或全域安全性群組的結果 PSO

步驟5：驗證結果

註：由於通用性和重複性，有些步驟不一定會示範出來，請參考前面的文章。

實戰

Ⅲ. PowerShell

步驟1：建立PSO

1.

在正式開始前還需要做一點準備工作。請確保2008伺服器添加了Windows Power Shell功能。另外，請到Quest網站下載powershell管理組件並安裝。http://www.quest.com/powershell/activeroles-server.aspx。如果你懶得去找，那麼可以從如下地址下載，不過我不保證以後這個地址不失效或者有新版本推出沒有更新：

32位：

http://www.quest.com/Quest_Download_Assets/individual_components/ManagementShellforActiveDirectory32bit_11.msi

64位：

http://www.quest.com/Quest_Download_Assets/individual_components/ManagementShellforActiveDirectory64bit_11.msi

2.

在所有程式裡面找到並開啟安裝的ActiveRoles Management Shell for Active Directory。

3.

輸入如下cmdlet建立一個PSO，如圖1.建立好後，可以使用Get-QADPasswordSettingsObject查看當前AD內的PSO。

New-QADPasswordSettingsObject

-Name 'AdminPSO' -Precedence 1

-ReversibleEncryptionEnabled:$FALSE

-PasswordHistoryLength 3

-PasswordComplexityEnabled:$TRUE

-MinimumPasswordLength 16

-MinimumPasswordAge (new-timespan -days -0)

-MaximumPasswordAge (new-timespan -days -14)

-LockoutThreshold 3

-ResetLockoutCounterAfter (new-timespan -days -0 -hour -0 -minute -30)

-LockoutDuration (new-timespan -days -0 -hour -0 -minute -30)

-AppliesTo winos\psogroup

圖1

4.

可以使用Get-QADPasswordSettingsObject cmdlet來查看當前存在的PSO。如圖2.

圖2