精通Windows Server 2008 多元密码策略之ADSIEDIT篇

核心提示： dsget user "CN=张三,OU=TestOU,DC=Winos,DC=CN" –effectivepso返回结果是：effectivepso"CN=AdminPSO,CN=PasswordSettingsContainer,CN=Syst

dsget user "CN=张三,OU=TestOU,DC=Winos,DC=CN" –effectivepso

返回结果是：

effectivepso

"CN=AdminPSO,CN=PasswordSettingsContainer,CN=System,DC=Winos,DC=cn"

dsget 成功

表明隶属于PSOGroup安全组的张三目前生效的密码策略是AdminPSO。如图21所示。

图21

2.

注：

a. 如果以上命令没有返回任何PSO 名称，则表示“默认域策略”已应用到指定的用户帐户。

b. 不能直接对安全组查看生效的密码策略，只能查看用户。

c. 不要尝试对张三用户通过组策略管理工具GPMC使用组策略建模或者组策略结果向导以查看他是否拿到了新密码策略，也不要尝试使用张三账号登录系统后运行net accounts命令。这些命令、工具都无法查看到张三目前应用的密码策略。它们均只能查看默认域密码策略。

使用ADUC管理单元查看用户结果PSO

1. 打开“Active Directory 用户和计算机”。右键张三用户，然后单击“属性”。

2. 切换到“属性编辑器”选项卡，然后单击“筛选器”。

3. 确保选中“显示属性”/“可选”复选框和“显示只读属性”/“已构造”复选框。

4. 找到并查看“属性”列表中的 msDS-ResultantPSO 属性的值是否为AdminPSO.

5. 注：如果 msDS-ResultantPSO 属性的值为“Null”或“未设置”，则“默认域策略”已应用到所选的用户帐户。

步骤5：验证结果

最简单的验证方法就是直接为张三用户修改密码。因为默认的域密码策略要求7个字符，而我为张三定义的密码策略是要满足16个字符。所以我在ADUC上将张三的密码重设为10位，看看能否成功，成功的话就说明他拿到的还是默认的域策略，而不是我们定义的AdminPSO。如图22所示，表示AdminPSO策略应用到张三账号上成功。

图22

结束语

象征性的来个总结陈词。以上是我们通过ADUC管理单元和ADSIEDIT来创建、管理多元密码策略的方法。相信大家对2008活动目录的这个强大改进有了一个深刻的认识。也希望大家继续关注我的一下篇系列文章《精通Windows Server 2008 多元密码策略之LDIFDE篇》。谢谢！