如果您是 Windows 域的管理員，一定會(huì)非常清楚域用戶帳戶的密碼策略的相關(guān)限制。但隨著 Windows Server2008的到來，其中一些限制將不復(fù)存在。讓我們來看看這個(gè)新操作系統(tǒng)將如何解決這樣一個(gè)問題：不能實(shí)現(xiàn)多個(gè)密碼策略。

如果您運(yùn)行的是 Windows域當(dāng)前的任意版本(Windows NT、Windows 2000 ActiveDirectory 或 Windows Server 2003ActiveDirectory)，就會(huì)受到每個(gè)域只能有一個(gè)密碼策略的限制。事實(shí)上，對(duì)您產(chǎn)生限制的不僅是密碼策略，而且還有帳戶策略涵蓋的范圍更廣的設(shè)置。圖1顯示了這些策略和設(shè)置。

Figure 1 Account policies

密碼策略

強(qiáng)制密碼歷史

密碼最長(zhǎng)使用期限

密碼最短使用期限

最短密碼長(zhǎng)度

密碼必須滿足復(fù)雜性要求

使用可逆加密存儲(chǔ)密碼

帳戶鎖定策略

帳戶鎖定時(shí)間

帳戶鎖定域值

重置帳戶鎖定計(jì)數(shù)器之前經(jīng)過的時(shí)間...

Kerberos 策略

強(qiáng)制用戶登錄限制

服務(wù)票證最長(zhǎng)壽命

用戶票證最長(zhǎng)壽命

用戶票證續(xù)訂最長(zhǎng)壽命

計(jì)算機(jī)時(shí)鐘同步的最大容差

默認(rèn)情況下，這些策略設(shè)置適用于與域相關(guān)聯(lián)的所有域帳戶和用戶帳戶。這是因?yàn)榻M策略是沿著 ActiveDirectory結(jié)構(gòu)向下繼承的。為了更好地認(rèn)識(shí)這些策略如何影響域帳戶和本地用戶帳戶，了解以下兩點(diǎn)非常重要：這些策略的設(shè)置位置，以及組策略的繼承方式如何影響所有不同的用戶帳戶。(請(qǐng)注意，Kerberos策略設(shè)置僅適用于域用戶帳戶，這是因?yàn)橹挥杏蛴脩魩羰褂肒erberos 進(jìn)行身份驗(yàn)證。本地用戶帳戶使用 NTLMv2、NTLM 或LM 進(jìn)行身份驗(yàn)證。)

設(shè)置帳戶策略

在 Active Directory 內(nèi)部，組策略建立并控制整個(gè)域的帳戶策略。這是在首次安裝 ActiveDirectory域時(shí)發(fā)生的，并且是通過獲得鏈接到 Active Directory 中域節(jié)點(diǎn)的默認(rèn)組策略對(duì)象 (GPO) 完成的。此GPO名為默認(rèn)域策略，具有帳戶策略的所有三部分的默認(rèn)配置。圖 2 顯示了 Windows Server2003域中密碼策略項(xiàng)初始設(shè)置的完整列表。

Figure 2 Default password policies for Windows Server 2003domain(單擊該圖像獲得較大視圖)

此 GPO中的設(shè)置控制所有域用戶帳戶以及每臺(tái)域計(jì)算機(jī)的帳戶策略。請(qǐng)記住，所有域計(jì)算機(jī)(臺(tái)式機(jī)和服務(wù)器)都具有本地安全帳戶管理器(SAM)，這很重要。此默認(rèn)GPO 中的設(shè)置控制的就是這一 SAM。當(dāng)然，本地 SAM 也包含每臺(tái)計(jì)算機(jī)的本地用戶帳戶。

通過 GPO 沿著 Active Directory 結(jié)構(gòu)向下進(jìn)行的正常繼承，默認(rèn)域策略中的設(shè)置可影響所有域計(jì)算機(jī)。由于此GPO鏈接到域節(jié)點(diǎn)，所以它將影響此域中的所有計(jì)算機(jī)帳戶。

無法對(duì)當(dāng)前密碼策略執(zhí)行的操作

關(guān)于 Active Directory(在 Windows Server2003中)的當(dāng)前實(shí)現(xiàn)，目前仍存在對(duì)密碼控制的許多誤解，盡管經(jīng)過了多年的嚴(yán)格測(cè)試，也未找到證據(jù)證明那些誤解是對(duì)的。很明顯(或應(yīng)該說)，策略是無法通過設(shè)計(jì)以外的其他方式起作用的。

也就是說，很多管理員都相信，可以為同一域中的多個(gè)用戶設(shè)置多個(gè)密碼策略。他們認(rèn)為您可以創(chuàng)建一個(gè)GPO，并將其鏈接到某個(gè)組織單位(OU)。該思想是將用戶帳戶移到 OU 以使 GPO 影響這些對(duì)象。在GPO內(nèi)部，對(duì)帳戶策略進(jìn)行修改以創(chuàng)建更安全的密碼策略(可能是通過將最大密碼長(zhǎng)度設(shè)置為14實(shí)現(xiàn)此目的)。但是，由于一些原因，此配置永遠(yuǎn)達(dá)不到期望的結(jié)果。首先，密碼策略設(shè)置是基于計(jì)算機(jī)而非基于用戶的策略。有了這種設(shè)置的前提條件之后，設(shè)置將永遠(yuǎn)無法影響用戶帳戶。其次，修改域用戶帳戶的帳戶策略設(shè)置只有一種方法，即在鏈接到該域的GPO內(nèi)部進(jìn)行修改。鏈接到 OU 且被配置為更改帳戶策略設(shè)置的那些 GPO，會(huì)修改駐留在 OU 中(或在鏈接的 OU 的子OU中)計(jì)算機(jī)的本地 SAM。

另一個(gè)誤解是，在根域(ActiveDirectory林的初始域)中建立的帳戶策略設(shè)置將向下流動(dòng)或繼承到林中的子域。這同樣并非事實(shí)，通過這種方式是無法使設(shè)置起作用的。鏈接到域和某個(gè)域中OU的 GPO 不會(huì)影響其他域中的對(duì)象，即使 GPO 鏈接到的域是根域也是一樣。使 GPO 設(shè)置影響其他域中對(duì)象的唯一方法是將GPO鏈接到 Active Directory 站點(diǎn)。

密碼策略的改變

可以看到，Windows的當(dāng)前版本處理用戶帳戶密碼的方式簡(jiǎn)單直觀。這包括一組適用于所有域帳戶的密碼規(guī)則，以及通過鏈接到Active Directory中域節(jié)點(diǎn)的組策略對(duì)象來管理帳戶策略的方式。隨著 Windows Server 2008的到來，這一切就都被判出局了。

Windows Server 2008 以及一同推出的 Active Directory基礎(chǔ)結(jié)構(gòu)采用了另一種方法。將帳戶策略置于GPO 中只允許對(duì)所有域用戶帳戶設(shè)置一種策略，而現(xiàn)在已將這些設(shè)置移到了 ActiveDirectory的更深部分。此外，帳戶策略也不再基于計(jì)算機(jī)帳戶?，F(xiàn)在，您可以讓個(gè)人用戶和用戶組來控制其密碼限制。對(duì)于Windows管理員來說，這是一個(gè)全新的概念，畢竟我們長(zhǎng)期以來一直在處理計(jì)算機(jī)帳戶的帳戶策略。

Windows Server 2008 中的帳戶策略

在 Windows Server 2008 中，無需使用默認(rèn)域策略建立帳戶策略。實(shí)際上，您根本不會(huì)使用GPO為域用戶帳戶創(chuàng)建帳戶策略。在 Windows Server 2008 中，會(huì)將您帶到 ActiveDirectory數(shù)據(jù)庫中進(jìn)行修改。具體來說，您將使用一個(gè)類似于 ADSIEdit 的工具來修改 ActiveDirectory對(duì)象及其關(guān)聯(lián)的屬性。

進(jìn)行此更改的原因是組策略并非針對(duì)同一域中的多個(gè)密碼而設(shè)計(jì)。在 Windows Server2008中，每個(gè)域?qū)崿F(xiàn)多個(gè)密碼的功能非常棒，但并非每個(gè)人都覺得該功能使用起來很方便。不過，隨著時(shí)間的推移，用于配置設(shè)置的界面將越來越易于訪問?，F(xiàn)在，您需要采用ActiveDirectory 數(shù)據(jù)庫設(shè)置工具對(duì)系統(tǒng)進(jìn)行更改。

如果您傾向于使用其他方法來修改帳戶策略設(shè)置，則不必使用 ADSIEdit。您可以使用能夠訪問 ActiveDirectory數(shù)據(jù)庫的任何其他 LDAP 編輯工具，甚至可以使用腳本。在 Windows Server2008中實(shí)現(xiàn)密碼策略后，就需要使用與過去截然不同的方法了。使用新功能意味著您需要考慮哪些用戶和組要接受哪些密碼設(shè)置。

您不但要考慮密碼長(zhǎng)度，還要考慮密碼策略設(shè)置附帶的其他一些限制，包括最短和最長(zhǎng)使用期限、歷史等。其他注意事項(xiàng)包括如何控制用戶鎖定策略設(shè)置和Kerberos設(shè)置。當(dāng)前的帳戶策略設(shè)置與在 Windows Server 2008 中的 ActiveDirectory數(shù)據(jù)庫中配置的帳戶策略設(shè)置存在一對(duì)一關(guān)系。但請(qǐng)注意，既然這些策略設(shè)置已是 ActiveDirectory對(duì)象和屬性，那么每個(gè)策略設(shè)置的名稱也會(huì)與以前不同，這很重要。

要實(shí)現(xiàn)新密碼設(shè)置，必須在密碼設(shè)置容器下創(chuàng)建一個(gè)名為 msDS-PasswordSettings 的密碼設(shè)置對(duì)象(PSO)，該容器的LDAP路徑為“cn=PasswordSettings,cn=System,dc=domainname,dc=com”。請(qǐng)注意，所用域的域功能級(jí)別必須設(shè)置為WindowsServer 2008。在此新對(duì)象下，您需要填寫若干屬性信息，如圖 3 所示。

Figure 3 Password attributes in Active Directory

Active Directory 屬性名屬性描述

msDS-PasswordSettingsPrecedence當(dāng)同一用戶在使用不同密碼策略的多個(gè)組中具有成員資格時(shí)，建立優(yōu)先次序。

msDS-PasswordReversibleEncryptionEnabled在是否啟用可逆加密之間切換。

msDS-PasswordHistoryLength確定中間必須隔有多少個(gè)不重復(fù)的密碼后，才能重用某個(gè)密碼。

msDS-PasswordComplexityEnabled確定密碼要求使用的字符數(shù)目和字符類型。

msDS-MinimumPasswordLength確定最短密碼長(zhǎng)度。

msDS-MinimumPasswordAge確定用戶密碼最短使用多久后才可更改。

msDS-MaximumPasswordAge確定密碼最長(zhǎng)使用多久后會(huì)要求用戶更改密碼。

msDS-LockoutThreshold確定鎖定用戶帳戶前允許的密碼嘗試失敗次數(shù)。

msDS-LockoutObservationWindow確定密碼計(jì)數(shù)器出現(xiàn)錯(cuò)誤后多長(zhǎng)時(shí)間進(jìn)行重置。

msDS-LockoutDuration確定密碼嘗試失敗次數(shù)過多導(dǎo)致帳戶鎖定后，帳戶的鎖定時(shí)長(zhǎng)。

可以看到，與帳戶策略設(shè)置相關(guān)的所有組策略設(shè)置都會(huì)作為屬性復(fù)制。請(qǐng)注意，還存在一個(gè)優(yōu)先設(shè)置;這對(duì)于在同一域中實(shí)現(xiàn)多個(gè)密碼至關(guān)重要，這是因?yàn)楸厝粫?huì)產(chǎn)生一些沖突，需要有處理這些沖突的機(jī)制。

目標(biāo)帳戶策略設(shè)置

對(duì)于創(chuàng)建的每個(gè)對(duì)象，都需要填寫所有的屬性才能針對(duì)每位用戶創(chuàng)建帳戶策略。這里有個(gè)新屬性msDS-PSOAppliesTo，用于確定哪些對(duì)象將接收這組策略設(shè)置。這是關(guān)鍵屬性，通過它可以將特定設(shè)置分配給特定用戶。此屬性下的列表可以是用戶也可以是組，但對(duì)于建立訪問控制列表的情形而言，則最好使用組，而不是用戶。因?yàn)榻M更穩(wěn)定，更容易找到，而且處理起來通常容易得多。

起立歡呼

數(shù)年來，我們一直希望能夠在同一 ActiveDirectory域中使用多個(gè)密碼，現(xiàn)在終于實(shí)現(xiàn)了。從密碼的角度而言，整個(gè)域中的每一個(gè)用戶都處于同一安全級(jí)別的情形已經(jīng)一去不復(fù)返了。例如，現(xiàn)在您能夠?yàn)槠胀ㄓ脩粼O(shè)置8個(gè)字符的密碼，而為 IT 專業(yè)人員(可能具有管理員權(quán)限)設(shè)置復(fù)雜一些的 14 個(gè)字符的密碼。

要想習(xí)慣使用 ActiveDirectory數(shù)據(jù)庫建立或修改帳戶策略設(shè)置，會(huì)花費(fèi)一些時(shí)間。但值得慶幸的是，新設(shè)置仿效了您熟悉的設(shè)置。當(dāng)您開始使用 WindowsServer2008 后，請(qǐng)務(wù)必立即研究這些新設(shè)置，因?yàn)檫@些肯定是屬于您首先完成的配置。

【編輯推薦】

1. 微軟Windows Server 2008因安全再度延期
2. windows server 2008虛擬化技術(shù)一覽
3. 避免攻擊：Windows Server 2008安全指南