精通Windows Server 2008 多元密码策略之ADSIEDIT篇

核心提示：前言众所周之，目录服务器DC的安全性至关重要，精通Windows Server 2008 多元密码策略之ADSIEDIT篇，而密码的保护又是安全性保护中很重要的一环，为活动目录制定密码策略可以减少人为的和来自网络入侵的安全威胁，所谓鱼和熊掌不可兼得，而我写这篇文章的初衷就是帮朋友尽快熟悉起这个功能，保证活动目录的安全，

前言

众所周之，目录服务器DC的安全性至关重要，而密码的保护又是安全性保护中很重要的一环。为活动目录制定密码策略可以减少人为的和来自网络入侵的安全威胁，保证活动目录的安全。AD管理员应该都知道，在Windows2000/2003上，密码策略只能指派到域(Site)上，不能单独应用于活动目录中的对象。换句话说，密码策略在域级别起作用，而且一个域只能有一套密码策略。 统一的密码策略虽然大大提高了安全性，但是提高了域用户使用的复杂度。举个例子来说，企业管理员的帐户安全性要求很高，需要超强策略，比如密码需要一定长度、需要每两周更改管理员密码而且不能使用上几次的密码;但是普通的域用户并不需要如此高的密码策略，也不希望经常更改密码并使用很长的密码，超强的密码策略并不适合他们。

为解决这个问题，在Win2008中引入了多元密码策略(Fine-Grained Password Policy)的概念。多元密码策略允许针对不同用户或全局安全组应用不同的密码策略，例如:

A.可以为管理员组指派超强密码策略，密码16位以上、两周过期;

B.为服务帐号指派中等密码策略，密码30天过期，不配置密码锁定策略;

C.为普通域用户指派密码90天过期等。

多元密码策略的诞生，满足了不同用户对于安全性的不同要求。多元密码策略虽然满足了不同级别用户对于密码安全性的要求，但是配置多个密码策略为管理员增加了管理复杂度，管理起来也不是很方便，所谓鱼和熊掌不可兼得。而我写这篇文章的初衷就是帮朋友尽快熟悉起这个功能，鱼和熊掌，我欲兼得！

部署注意点

多元密码策略部署要求有以下几点：

A. 所有域控制器都必须是Windows Server 2008；

B. 域功能级别为2008 Domain Functional Mode；如下图1所示：