前言
在上兩篇文章《精通Windows Server 2008 多元密碼原則之ADSIEDIT篇》和《精通Windows Server 2008 多元密碼原則之LDIFDE篇》中我向大家介紹了如何通過ADSIEDIT工具、活動目錄使用者和電腦嵌入式管理單元和LDIFDE命令列工具建立、管理密碼設定物件PSO。在這篇文章中,我將向大家展示如何使用Quese公司出品的針對AD管理的PowerShell來實現、管理多元密碼原則。
按照慣例,為了讓大家在操作的時候有一個清晰的思路,我將主要的操作步驟寫出來:
步驟 1:建立 PSO
步驟 2:將 PSO 應用到使用者和/或全域安全性群組
步驟 3:管理 PSO
步驟 4:查看使用者或全域安全性群組的結果 PSO
步驟5:驗證結果
註:由於通用性和重複性,有些步驟不一定會示範出來,請參考前面的文章。
實戰
Ⅲ. PowerShell
步驟1:建立PSO
1.
在正式開始前還需要做一點準備工作。請確保2008伺服器添加了Windows Power Shell功能。另外,請到Quest網站下載powershell管理組件並安裝。http://www.quest.com/powershell/activeroles-server.aspx。如果你懶得去找,那麼可以從如下地址下載,不過我不保證以後這個地址不失效或者有新版本推出沒有更新:
32位:
http://www.quest.com/Quest_Download_Assets/individual_components/ManagementShellforActiveDirectory32bit_11.msi
64位:
http://www.quest.com/Quest_Download_Assets/individual_components/ManagementShellforActiveDirectory64bit_11.msi
2.
在所有程式裡面找到並開啟安裝的ActiveRoles Management Shell for Active Directory。
3.
輸入如下cmdlet建立一個PSO,如圖1.建立好後,可以使用Get-QADPasswordSettingsObject查看當前AD內的PSO。
New-QADPasswordSettingsObject
-Name 'AdminPSO' -Precedence 1
-ReversibleEncryptionEnabled:$FALSE
-PasswordHistoryLength 3
-PasswordComplexityEnabled:$TRUE
-MinimumPasswordLength 16
-MinimumPasswordAge (new-timespan -days -0)
-MaximumPasswordAge (new-timespan -days -14)
-LockoutThreshold 3
-ResetLockoutCounterAfter (new-timespan -days -0 -hour -0 -minute -30)
-LockoutDuration (new-timespan -days -0 -hour -0 -minute -30)
-AppliesTo winos\psogroup
圖1
4.
可以使用Get-QADPasswordSettingsObject cmdlet來查看當前存在的PSO。如圖2.
圖2