解析Windows密码安全问题(第三部分)

核心提示： 为了让所有用户帐户的密码政策保持一致，我们可以“强迫修改”负责域用户帐户的密码政策设置的GPO，解析Windows密码安全问题(第三部分)(2)，同样的，在默认情况下，你必须在密码设置器(Password Settings Container)下面创建额外的AD对象，你可

为了让所有用户帐户的密码政策保持一致，我们可以“强迫修改”负责域用户帐户的密码政策设置的GPO，同样的，在默认情况下，GPO是位于Default Domain Policy的，右键单击GPO，选择执行菜单选项，图1显示的就是配置这一过程的图示。

图1：执行Default Domain Policy可以确保位于本地SAM中的所有用户帐户使用相同的密码政策

使用微软技术为每个域设置多个密码政策

微软公司已经提高了相关技术，可以在单个AD域中实行多个密码政策，这虽然不是什么新鲜事，但是这也像是吹来的一股清新的空气。这种技术只能适用于Windows Server2008域，所有的域控制器都运行Windows server2008。此外，域必须运行在Windows Server2008的功能级别，这种技术被称为细粒度密码政策。

如果你的环境符合上述要求，你就可以配置多个密码政策，这就意味着你可以拥有以下设置：

·IT用户必须使用25字符的密码

·人力资源部门用户必须使用20字符长度的密码

·所有的用户必须使用17字符长度的密码

这种技术的缺点在于，并没有在组策略中进行配置，相反的，你必须在密码设置器(Password Settings Container)下面创建额外的AD对象，你可以使用ADSIEDIT.MSC来查看和配置这些新对象，如图2所示。