54SA.COM|专注于系统运维管理,为中国SA提供动力!
Getting online shouldn't be tough. $7.99 .COMs
系统管理员之家Banner
当前位置: 主页 > Windows > Windows2008 >

聚焦Windows Server 2008 域密码策略

时间:2011-04-09 23:35来源:未知 编辑:tina

    如果您是 Windows 的管理员,一定会非常清楚用户帐户的密码策略的相关限制。但随着WindowsServer2008的到来,其中一些限制将不复存在。让我们来看看这个新操作系统将如何解决这样一个问题:不能实现多个密码策略。

  如果您运行的是 Windows? 域当前的任意版本(Windows NT?、Windows2000ActiveDirectory?或 WindowsServer?2003ActiveDirectory),就会受到每个域只能有一个密码策略的限制。事实上,对您产生限制的不仅是密码策略,而且还有帐户策略涵盖的范围更广的设置。图1显示了这些策略和设置。

  Figure 1 Account policies

  密码策略

  强制密码历史

  密码最长使用期限

  密码最短使用期限

  最短密码长度

  密码必须满足复杂性要求

  使用可逆加密存储密码

  帐户锁定策略

  帐户锁定时间

  帐户锁定域值

  重置帐户锁定计数器之前经过的时间...

  Kerberos 策略

  强制用户登录限制

  服务票证最长寿命

  用户票证最长寿命

  用户票证续订最长寿命

  计算机时钟同步的最大容差

  默认情况下,这些策略设置适用于与域相关联的所有域帐户和用户帐户。这是因为组策略是沿着ActiveDirectory结构向下继承的。为了更好地认识这些策略如何影响域帐户和本地用户帐户,了解以下两点非常重要:这些策略的设置位置,以及组策略的继承方式如何影响所有不同的用户帐户。(请注意,Kerberos策略设置仅适用于域用户帐户,这是因为只有域用户帐户使用Kerberos进行身份验证。本地用户帐户使用NTLMv2、NTLM 或LM 进行身份验证。)

  设置帐户策略

  在 Active Directory内部,组策略建立并控制整个域的帐户策略。这是在首次安装ActiveDirectory域时发生的,并且是通过获得链接到 ActiveDirectory 中域节点的默认组策略对象 (GPO)完成的。此GPO名为默认域策略,具有帐户策略的所有三部分的默认配置。图 2显示了 WindowsServer2003域中密码策略项初始设置的完整列表。

  Figure 2 Default password policies for WindowsServer2003domain(单击该图像获得较大视图)

  此GPO中的设置控制所有域用户帐户以及每台域计算机的帐户策略。请记住,所有域计算机(台式机和服务器)都具有本地安全帐户管理器(SAM),这很重要。此默认GPO中的设置控制的就是这一SAM。当然,本地 SAM 也包含每台计算机的本地用户帐户。

  通过 GPO 沿着 ActiveDirectory结构向下进行的正常继承,默认域策略中的设置可影响所有域计算机。由于此GPO链接到域节点,所以它将影响此域中的所有计算机帐户。

[责任编辑:admin]


------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名:
最新评论 进入详细评论页>>