如何设置域用户PSO密码策略
2014-11-12 15:52
507 查看
最近学习windows server 2008,发现无论是管理员帐户,还是域内其它的帐户,均需要满足密码策略,即需要使用大写,小写与数字三种组合的密码。不得不承认,安全性很强,但是对我们公司的普通用户来说,很麻烦。于是想到了使用Password Settings objects (PSO)来将特定的用户密码设置。
比如说一些老总,让他们用这么复杂的密码,肯定不方便,现在说详细说一下如何使用PSO策略来设定域内特定的用户的密码策略。
环境如下:
1.DC: windows server 2008 R2 enterprise edition X64.
name:ad.anet.com
2.test user accout: test01@anet.com
下面进入正式的实验步骤:
1.登录域DC,新建一个安全的组,名为password,并创建test accout test01@anet.com,将该帐户加入到password安全组。那我这里设定的密码是大小写和数字组合。我们来尝试一下更改密码为123456,可以看到,不可以更改。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/103801512.jpg" />
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/103922880.jpg" />
2.使用domain admins帐户组的一个帐号登入到域,我这里用的是administrator,然后依次打开“开始”菜单,在运行中输入"adsiedit.msc",然后右键点击"connect to"连接到域控制器,具体操作见下图。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/105434700.jpg" />
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/105446632.jpg" />
3.我们依次展开dc=anet,DC=com,选择cn=system这里,将cn=system展开来650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/105536838.jpg" />
4.,找到下面的"cn=password Settings Container"这是一个密码设置容器,我们右键点击这个container,并选择新建object(对象),弹出新建object的对话框,点击下一步。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/105611640.jpg" />
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/105623465.jpg" />
5.在common-name这里随便输入一个名字,我这里写"PS01",然后点击下一步;
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/105649494.jpg" />
6.下面出现msds-passwordSettingsPrecedence,这里必须输入大于0的数字。我这里输入10,这个选项意思是优先级。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112551751.jpg" />
7.接下来进入msds-passwordReversibleEncryptionEnabled,微软的官方解释意思是Password reversible encryption status for user accounts,中文意思是说帐户密码是否可以可逆加密。输入是或者否,我这里输入FALSE
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112622568.jpg" />
8.密码历史长度,输入6;
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112632113.jpg" />
9.密码是否需要满足复杂性,这里选择不需要,布尔型,FALSE;
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112640891.jpg" />
10.密码最少长度,我这里设置为6个长度。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112650124.jpg" />
11.密码有效时间,格式为XX:XX:XX:XX,即天:小时:分:秒,如1:00:00:00表示的是一天;下面的最长时间也是一样的,我这里设置的是60天,也就是俩个月的密码最长有效时间;
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112659433.jpg" />
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112711249.jpg" />
12.密码错误次数将会锁定,这里设置为三次;
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112741811.jpg" />
13.下面这个选项,用户多久时间内错误三次会锁定帐户;
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112741118.jpg" />
14.用户帐户三次错误后封锁的时间,即必须等待这个时间后才能再输入密码;这个选项设置以后,按完成即可完成object创建过程。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112741809.jpg" />
15.关闭刚刚的窗口,我们进入到active directory users and computers.点击“查看”--并且将"advanced features"高级功能,选中。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112742622.jpg" />
16.找到下面的system选项,并将其展开后,找到“password Settings Container”,可以看到右边出现了我们刚刚新建好的PS01这个密码容器。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112805317.jpg" />
17,双击PS01,然后切换到"attribute editor"属性编辑,这个地方,如下图所示:
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112805669.jpg" />
18.找到msDS-PSOAppliesTo这个选项,意思是PSO策略应用于,我们双击这里,或者点编辑。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112806844.jpg" />
19.在添加windows帐户(add windows account)这个地方选择要添加的windows帐户,我们选择刚刚新建好的安全组password安全组,将其添加进去。顺便说一下,这里也可以直接添加你要设定特定密码策略的帐户。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112806596.jpg" />
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112815346.jpg" />
20,好了,我们已经添加进去,点击确定就好了,然后大家可以试试去改一下test01@anet.com这个帐户的密码,可以看到,已经可以改成123456了。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112822574.jpg" />
好了,今天就写到这里了,第一次写原创文章,可能写得不怎么好,有需要改进的地方,还请大家多多指教。
本文出自 “高安定的51CTO博客” 博客,请务必保留此出处http://andygao.blog.51cto.com/323260/334051
比如说一些老总,让他们用这么复杂的密码,肯定不方便,现在说详细说一下如何使用PSO策略来设定域内特定的用户的密码策略。
环境如下:
1.DC: windows server 2008 R2 enterprise edition X64.
name:ad.anet.com
2.test user accout: test01@anet.com
下面进入正式的实验步骤:
1.登录域DC,新建一个安全的组,名为password,并创建test accout test01@anet.com,将该帐户加入到password安全组。那我这里设定的密码是大小写和数字组合。我们来尝试一下更改密码为123456,可以看到,不可以更改。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/103801512.jpg" />
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/103922880.jpg" />
2.使用domain admins帐户组的一个帐号登入到域,我这里用的是administrator,然后依次打开“开始”菜单,在运行中输入"adsiedit.msc",然后右键点击"connect to"连接到域控制器,具体操作见下图。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/105434700.jpg" />
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/105446632.jpg" />
3.我们依次展开dc=anet,DC=com,选择cn=system这里,将cn=system展开来650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/105536838.jpg" />
4.,找到下面的"cn=password Settings Container"这是一个密码设置容器,我们右键点击这个container,并选择新建object(对象),弹出新建object的对话框,点击下一步。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/105611640.jpg" />
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/105623465.jpg" />
5.在common-name这里随便输入一个名字,我这里写"PS01",然后点击下一步;
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/105649494.jpg" />
6.下面出现msds-passwordSettingsPrecedence,这里必须输入大于0的数字。我这里输入10,这个选项意思是优先级。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112551751.jpg" />
7.接下来进入msds-passwordReversibleEncryptionEnabled,微软的官方解释意思是Password reversible encryption status for user accounts,中文意思是说帐户密码是否可以可逆加密。输入是或者否,我这里输入FALSE
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112622568.jpg" />
8.密码历史长度,输入6;
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112632113.jpg" />
9.密码是否需要满足复杂性,这里选择不需要,布尔型,FALSE;
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112640891.jpg" />
10.密码最少长度,我这里设置为6个长度。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112650124.jpg" />
11.密码有效时间,格式为XX:XX:XX:XX,即天:小时:分:秒,如1:00:00:00表示的是一天;下面的最长时间也是一样的,我这里设置的是60天,也就是俩个月的密码最长有效时间;
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112659433.jpg" />
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112711249.jpg" />
12.密码错误次数将会锁定,这里设置为三次;
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112741811.jpg" />
13.下面这个选项,用户多久时间内错误三次会锁定帐户;
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112741118.jpg" />
14.用户帐户三次错误后封锁的时间,即必须等待这个时间后才能再输入密码;这个选项设置以后,按完成即可完成object创建过程。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112741809.jpg" />
15.关闭刚刚的窗口,我们进入到active directory users and computers.点击“查看”--并且将"advanced features"高级功能,选中。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112742622.jpg" />
16.找到下面的system选项,并将其展开后,找到“password Settings Container”,可以看到右边出现了我们刚刚新建好的PS01这个密码容器。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112805317.jpg" />
17,双击PS01,然后切换到"attribute editor"属性编辑,这个地方,如下图所示:
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112805669.jpg" />
18.找到msDS-PSOAppliesTo这个选项,意思是PSO策略应用于,我们双击这里,或者点编辑。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112806844.jpg" />
19.在添加windows帐户(add windows account)这个地方选择要添加的windows帐户,我们选择刚刚新建好的安全组password安全组,将其添加进去。顺便说一下,这里也可以直接添加你要设定特定密码策略的帐户。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112806596.jpg" />
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112815346.jpg" />
20,好了,我们已经添加进去,点击确定就好了,然后大家可以试试去改一下test01@anet.com这个帐户的密码,可以看到,已经可以改成123456了。
650) this.width=650;" onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)' border="0" alt="" src="http://img1.51cto.com/attachment/201006/112822574.jpg" />
好了,今天就写到这里了,第一次写原创文章,可能写得不怎么好,有需要改进的地方,还请大家多多指教。
本文出自 “高安定的51CTO博客” 博客,请务必保留此出处http://andygao.blog.51cto.com/323260/334051
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 如何设置域用户PSO密码策略
- 菜鸟学exchange之二:如何管理邮件用户以及邮件策略的设置
- SQLSERVER 2005 如何给sa用户设置空密码?
- 如何设置root用户密码
- 为域用户设置多元密码策略
- linux下如何设置用户密码过期时间
- 如何为用户设置密码
- 如何设置Linux MySQL数据库 root用户的密码
- 在设置iis windows身份验证,出错:登录失败:用户帐户限制。可能的原因包括不允许空密码登录时间限制或强制的策略限制。
- 用户密码策略设置
- 菜鸟学exchange之二:如何管理邮件用户以及邮件策略的设置
- 菜鸟学exchange之二:如何管理邮件用户以及邮件策略的设置
- 菜鸟学exchange之二:如何管理邮件用户以及邮件策略的设置
- 如何设置root用户的密码以使root用户生效
- SQLSERVER 2005 如何给sa用户设置空密码?
- 菜鸟学exchange之二:如何管理邮件用户以及邮件策略的设置
- 如何在BES4.1.7服务器上为用户设置新的无线激活密码
- 如何对FTP站点设置用户和密码?
- 设置域用户帐户密码策略
- 如何在Linux下用shell自动创建用户并设置密码