精通Windows Server 2008 多元密码策略之LDIFDE篇

核心提示：前言在上一篇文章《精通Windows Server 2008 多元密码策略之ADSIEDIT篇》中我向大家介绍了如何通过ADSIEDIT工具和活动目录用户和计算机管理单元创建、管理密码设置对象PSO，原理性的东西和需要注意的地方我就这这篇文章和之后的文章中不再赘述了，精通Windows Server 2008 多元密码

前言

在上一篇文章《精通Windows Server 2008 多元密码策略之ADSIEDIT篇》中我向大家介绍了如何通过ADSIEDIT工具和活动目录用户和计算机管理单元创建、管理密码设置对象PSO。原理性的东西和需要注意的地方我就这这篇文章和之后的文章中不再赘述了。有需要的请查看上篇文章。接下来的重点主要是动手部分。废话少说，开始！为了让大家在操作的时候有一个清晰的思路，我将主要的操作步骤写出来：

步骤 1：创建 PSO

步骤 2：将 PSO 应用到用户和/或全局安全组

步骤 3：管理 PSO

步骤 4：查看用户或全局安全组的结果 PSO

步骤5：验证结果

注：由于通用性和重复性，有些步骤不一定会演示出来，请参考前面的文章。

实战

Ⅱ. LDIFDE

步骤1：创建PSO

1. 在使用LDIFDE工具创建PSO前，我觉得很有必要介绍一下“负PSO 属性值”这个概念。从前面那篇文章可以知道，使用 ADSI Edit 创建密码设置对象 (PSO) 时，是以 dd:hh:mm:ss 格式输入四个与时间相关的 PSO 属性（msDS-MaximumPasswordAge、msDS-MinimumPasswordAge、msDS-LockoutObservationWindow 和 msDS-LockoutDuration）的值。而在这篇文章中使用 ldifde 命令创建 PSO 时，则必须以 I8 格式输入这些属性的值，这种格式以 -100 毫微秒的间隔存储时间。Windows Server 2003“默认域策略”将此确切的时间单位用于其相应的时间相关属性。若要将这些属性设置为适当的值，请将以分钟、小时或天为单位的时间值转换为以 100 毫微秒为间隔的时间值，然后在所得到的值前面加个负号。是不是有点晕？看个例子就很简单了：

1分钟换算成I8值为：

-60*(10^7) = - 600000000