Windows 域密碼原則

Windows 域密碼原則

Derek Melber

如果您是 Windows 域的管理員，一定會非常清楚域使用者帳戶的密碼原則的相關限制。但隨著 Windows Server 2008 的到來，其中一些限制將不複存在。讓我們來看看這個新作業系統將如何解決這樣一個問題：不能實現多個密碼原則。

如果您啟動並執行是 Windows ^{域當前的任意版本（Windows NT、Windows 2000 Active Directory 或 Windows Server 2003 Active Directory），就會受到每個域只能有一個密碼原則的限制。事實上，對您產生限制的不僅是密碼原則，而且還有帳戶原則涵蓋的範圍更廣的設定。圖 1 顯示了這些策略和設定。}

預設情況下，這些原則設定適用於與域相關聯的所有域帳戶和使用者帳戶。這是因為組策略是沿著 Active Directory 結構向下繼承的。為了更好地認識這些策略如何影響域帳戶和本機使用者帳戶，瞭解以下兩點非常重要：這些策略的設定位置，以及組策略的繼承方式如何影響所有不同的使用者帳戶。（請注意，Kerberos 原則設定僅適用於域使用者帳戶，這是因為只有域使用者帳戶使用 Kerberos 進行身分識別驗證。本機使用者帳戶使用 NTLMv2、NTLM 或 LM 進行身分識別驗證。）

設定帳戶原則

在 Active Directory 內部，組策略建立並控制整個域的帳戶原則。這是在首次安裝 Active Directory 域時發生的，並且是通過獲得連結到 Active Directory 中域節點的預設組策略對象 (GPO) 完成的。此 GPO 名為預設域策略，具有帳戶原則的所有三部分的預設配置。圖 2 顯示了 Windows Server 2003 域中密碼原則項初始設定的完整列表。

Figure 2 Default password policies for Windows Server 2003 domain (單擊該映像獲得較小視圖)
Figure 2 Default password policies for Windows Server 2003 domain (單擊該映像獲得較大視圖)

此 GPO 中的設定控制所有域使用者帳戶以及每台域電腦的帳戶原則。請記住，所有域電腦（台式機和伺服器）都具有本地安全帳戶管理器 (SAM)，這很重要。此預設 GPO 中的設定控制的就是這一 SAM。當然，本地 SAM 也包含每台電腦的本機使用者帳戶。

通過 GPO 沿著 Active Directory 結構向下進行的正常繼承，預設域策略中的設定可影響所有域電腦。由於此 GPO 連結到域節點，所以它將影響此域中的所有電腦帳戶。

無法對當前密碼原則執行的操作

關於 Active Directory（在 Windows Server 2003 中）的當前實現，目前仍存在對密碼控制的許多誤解，儘管經過了多年的嚴格測試，也未找到證據證明那些誤解是對的。很明顯（或應該說），策略是無法通過設計以外的其他方式起作用的。

也就是說，很多管理員都相信，可以為同一域中的多個使用者佈建多個密碼原則。他們認為您可以建立一個 GPO，並將其連結到某個組織單位 (OU)。該思想是將使用者帳戶移到 OU 以使 GPO 影響這些對象。在 GPO 內部，對帳戶原則進行修改以建立更安全的密碼原則（可能是通過將最大密碼長度設定為 14 實現此目的）。但是，由於一些原因，此配置永遠達不到期望的結果。首先，密碼原則設定是基於電腦而非以使用者為基礎的原則。有了這種設定的前提條件之後，設定將永遠無法影響使用者帳戶。其次，修改域使用者帳戶的帳戶原則設定只有一種方法，即在連結到該域的 GPO 內部進行修改。連結到 OU 且被配置為更改帳戶原則設定的那些 GPO，會修改駐留在 OU 中（或在連結的 OU 的子 OU 中）電腦的本地 SAM。

另一個誤解是，在根域（Active Directory 林的初始域）中建立的帳戶原則設定將向下流動或繼承到林中的子域。這同樣並非事實，通過這種方式是無法使設定起作用的。連結到域和某個域中 OU 的 GPO 不會影響其他域中的對象，即使 GPO 連結到的域是根域也是一樣。使 GPO 設定影響其他域中對象的唯一方法是將 GPO 連結到 Active Directory 網站。

密碼原則的改變

可以看到，Windows 的目前的版本處理使用者帳戶密碼的方式簡單直觀。這包括一組適用於所有域帳戶的密碼規則，以及通過連結到 Active Directory 中域節點的組策略對象來管理帳戶原則的方式。隨著 Windows Server 2008 的到來，這一切就都被判出局了。

Windows Server 2008 以及一同推出的 Active Directory 基礎結構採用了另一種方法。將帳戶原則置於 GPO 中只允許對所有域使用者帳戶設定一種策略，而現在已將這些設定移到了 Active Directory 的更深部分。此外，帳戶原則也不再基於電腦帳戶。現在，您可以讓個人使用者和使用者組來控制其密碼限制。對於 Windows 管理員來說，這是一個全新的概念，畢竟我們長期以來一直在處理電腦帳戶的帳戶原則。

Windows Server 2008 中的帳戶原則

在 Windows Server 2008 中，無需使用預設域策略建立帳戶原則。實際上，您根本不會使用 GPO 為域使用者帳戶建立帳戶原則。在 Windows Server 2008 中，會將您帶到 Active Directory 資料庫中進行修改。具體來說，您將使用一個類似於 ADSIEdit 的工具來修改 Active Directory 對象及其關聯的屬性。

進行此更改的原因是組策略並非針對同一域中的多個密碼而設計。在 Windows Server 2008 中，每個域實現多個密碼的功能非常棒，但並非每個人都覺得該功能使用起來很方便。不過，隨著時間的推移，用於配置設定的介面將越來越易於訪問。現在，您需要採用 Active Directory 資料庫設定工具對系統變更。

如果您傾向於使用其他方法來修改帳戶原則設定，則不必使用 ADSIEdit。您可以使用能夠訪問 Active Directory 資料庫的任何其他 LDAP 編輯工具，甚至可以使用指令碼。在 Windows Server 2008 中實現密碼原則後，就需要使用與過去截然不同的方法了。使用新功能意味著您需要考慮哪些使用者和組要接受哪些密碼設定。

您不但要考慮密碼長度，還要考慮密碼原則設定附帶的其他一些限制，包括最短和最長使用到期日、曆史等。其他注意事項包括如何控制使用者鎖定原則設定和 Kerberos 設定。當前的帳戶原則設定與在 Windows Server 2008 中的 Active Directory 資料庫中配置的帳戶原則設定存在一對一關聯性。但請注意，既然這些原則設定已是 Active Directory 對象和屬性，那麼每個原則設定的名稱也會與以前不同，這很重要。

要實現新密碼設定，必須在密碼設定容器下建立一個名為 msDS-PasswordSettings 的密碼設定物件 (PSO)，該容器的 LDAP 路徑為“cn=Password Settings,cn=System,dc=domainname,dc=com”。請注意，所用域的域功能層級必須設定為 Windows Server 2008。在此新對象下，您需要填寫若干屬性資訊， 3 所示。

可以看到，與帳戶原則設定相關的所有組原則設定都會作為屬性複製。請注意，還存在一個優先設定；這對於在同一域中實現多個密碼至關重要，這是因為必然會產生一些衝突，需要有處理這些衝突的機制。

目標帳戶原則設定

對於建立的每個對象，都需要填寫所有的屬性才能針對每位使用者建立帳戶原則。這裡有個新屬性 msDS-PSOAppliesTo，用於確定哪些對象將接收這組原則設定。這是關鍵屬性，通過它可以將特定設定分配給特定使用者。此屬性下的列表可以是使用者也可以是組，但對於建立存取控制清單的情形而言，則最好使用組，而不是使用者。因為組更穩定，更容易找到，而且處理起來通常容易得多。

起立歡呼

數年來，我們一直希望能夠在同一 Active Directory 域中使用多個密碼，現在終於實現了。從密碼的角度而言，整個域中的每一個使用者都處於同一安全層級的情形已經一去不複返了。例如，現在您能夠為普通使用者佈建 8 個字元的密碼，而為 IT 專業人員（可能具有管理員權限）設定複雜一些的 14 個字元的密碼。

要想習慣使用 Active Directory 資料庫建立或修改帳戶原則設定，會花費一些時間。但值得慶幸的是，新設定仿效了您熟悉的設定。當您開始使用 Windows Server 2008 後，請務必立即研究這些新設定，因為這些肯定是屬於您首先完成的配置。

Derek Melber兼 MCSE、CISM 和 MVP 於一身，是獨立的顧問兼培訓師。他負責講授和推廣 Microsoft 技術，著重於 Active Directory、組策略、安全性以及案頭管理。Derek 現已著有多本 IT 書籍，其中包括“Microsoft Windows Group Policy Guide”（Microsoft Windows 組策略指南）(Microsoft Press, 2005)。您可以通過 derekm@braincore.net 與他聯絡。
摘自 December 2007 期刊 TechNet Magazine.
歡迎您提出寶貴意見。歡迎您給我們發送反饋.