Windows Server 2008細(xì)粒度口令策略無疑提高了域用戶口令的靈活性。可以實(shí)現(xiàn)根據(jù)用戶的級別來定義不同的口令策略。

    一、 細(xì)粒度口令策略的實(shí)現(xiàn)前提

　　不過細(xì)粒度口令策略畢竟是Windows Server 2008服務(wù)器的功能，為此在使用起來有一定的限制條件。具體的來說，要在Windows Server 2008環(huán)境下實(shí)現(xiàn)細(xì)粒度口令策略，要遵循如下幾個(gè)限制：

    1、如果管理員需要實(shí)現(xiàn)精細(xì)粒度的口令策略，則必須要將域中的所有域控制器升級到2008并將整個(gè)域都處于2008的功能模式下。雖然在以前的版本中，可以在森林域控制器上通過第三方口令更改實(shí)用程序來模擬實(shí)現(xiàn)這一功能，但是畢竟不是Windows環(huán)境下的功能?？傊?，要實(shí)現(xiàn)細(xì)粒度口令策略，必須要將整個(gè)域設(shè)置為2008級別。也就是說，域中所有的DC必須運(yùn)行在2008的操作系統(tǒng)環(huán)境。注意這里只是強(qiáng)調(diào)所有的域控制器，包括輔助控制器，需要運(yùn)行2008以上版本的操作系統(tǒng)。而客戶端的話，沒有這方面的強(qiáng)制要求。客戶端可以運(yùn)行諸如XP等版本的操作系統(tǒng)。

    2、如果在域環(huán)境中啟用了細(xì)粒度口令策略，那么如果與其他口令策略發(fā)生沖突的時(shí)候，需要注意一個(gè)優(yōu)先性的問題。也就是說需要注意哪一個(gè)口令策略會(huì)被覆蓋，哪一個(gè)口令策略會(huì)生效。通常情況下，精細(xì)粒度口令策略要比域口令策略的優(yōu)先性高。也就是說，如果他們兩者發(fā)生沖突的話，那么域控制器將會(huì)采用精細(xì)粒度口令策略，而會(huì)忽視域口令策略。其次應(yīng)用于用戶的精細(xì)粒度口令策略總是優(yōu)先于應(yīng)用于組的口令策略設(shè)置。也就是說，無論什么情況下，精細(xì)粒度口令策略往往具有比較高的優(yōu)先性。了解這個(gè)基本原則，對于后續(xù)口令策略的規(guī)劃、口令安全性設(shè)計(jì)等工作具有非常重大的意義。

    3、了解精細(xì)口令策略在繼承上的限制。如果在組的級別上或者用戶級別上設(shè)置普通用戶口令策略的話，可以為同一個(gè)用戶設(shè)置多個(gè)口令力策略。其最終采用的口令策略通常情況下是比較復(fù)雜的一個(gè)策略。不過如果為用戶設(shè)置細(xì)粒度口令策略的話，則與此不同。一般情況下，只允許系統(tǒng)管理員向一個(gè)用戶施加一組口令策略。如果向同一個(gè)用戶設(shè)置多個(gè)口令策略，一般也不會(huì)出錯(cuò)。只是其最終生效的，是具有比較低數(shù)字優(yōu)先級的策略。注意，這又涉及到了另一個(gè)優(yōu)先級問題。為了避免后續(xù)維護(hù)的麻煩，筆者建議***只為一個(gè)用戶設(shè)置一個(gè)密碼策略。如果設(shè)置多個(gè)的話，***系統(tǒng)管理員都會(huì)頭疼。特別是普通口令策略、域口令策略與組口令策略、細(xì)粒度口令策略不要同時(shí)應(yīng)用在一個(gè)用戶上，那會(huì)增加口令策略的復(fù)雜性。想想看，如果同時(shí)在一個(gè)用戶上應(yīng)用這些口令策略，那么判斷其最終生效的是哪一個(gè)口令策略，就需要花費(fèi)管理員不少的經(jīng)歷。為了簡化起見，雖然口令策略系統(tǒng)會(huì)采用不同的優(yōu)先級來避免沖突，但是筆者還是建議同一個(gè)用戶***只采用一種口令力策略。

    二、 細(xì)粒度口令策略的具體配置。

    在2008環(huán)境下，口令設(shè)置對象一般存儲(chǔ)在域控制器的口令設(shè)置容器中。通常情況下，為了為特定的用戶創(chuàng)建特定的口令策略，需要通過一個(gè)特殊的工具，即ADSIEdit來實(shí)現(xiàn)。部署過域控制器的系統(tǒng)管理員一定知道，這是一款非常強(qiáng)大的低級目錄編輯器。其不僅可以實(shí)現(xiàn)細(xì)粒度口令策略，為域中的用戶實(shí)現(xiàn)不同的口令策略;而且還可以實(shí)現(xiàn)其他很多的功能。不過需要注意的是，這個(gè)工具是一個(gè)低級目錄編輯器，如果使用的不小心的話，會(huì)帶來災(zāi)難性的損失。通常情況下，如果使用這個(gè)工具進(jìn)行比較大的更改時(shí)，都建議先對域控制器的相關(guān)配置進(jìn)行備份，以備不時(shí)之需。

   1、 利用向?qū)磉M(jìn)行配置。

    在2008版本中，ADSIEdit工具專門提供了一個(gè)向?qū)?，來為特定的用戶設(shè)置特定的口令策略。通過這個(gè)向?qū)Чぞ撸梢栽?008域控制器中自動(dòng)創(chuàng)建口令策略并運(yùn)行在口令策略上設(shè)置與細(xì)粒度口令策略相關(guān)的大部分屬性。通常情況下，為了避免不必要的麻煩，筆者強(qiáng)烈建議通過向?qū)韯?chuàng)建細(xì)粒度口令策略。在使用向?qū)韯?chuàng)建細(xì)粒度口令策略時(shí)，以下幾個(gè)參數(shù)要引起特別的關(guān)注。

    一是msDS-Password。筆者在談到細(xì)粒度口令策略的限制條件時(shí)談到過，如果在同一個(gè)用戶上設(shè)置多個(gè)細(xì)粒度口令策略的話，那么具有比較低數(shù)字優(yōu)先級的策略將被啟用。這個(gè)數(shù)字就是在這個(gè)參數(shù)中定義。這里設(shè)置的數(shù)字越小，其優(yōu)先性越高。為了提高口令力策略的靈活性，筆者建議存在多個(gè)口令策略的情況下，可以在數(shù)字的兩邊留出空格一重新排序優(yōu)先級?；蛘哒f，以10位單位設(shè)置這個(gè)參數(shù)。然后后續(xù)需要調(diào)整的話，只要個(gè)別調(diào)整數(shù)字，如將20調(diào)整為31。如此，就可以只通過調(diào)整一個(gè)口令策略從而實(shí)現(xiàn)優(yōu)先級的調(diào)整。這相當(dāng)于不少信息化管理系統(tǒng)，其項(xiàng)目的行號都是以10位單位進(jìn)行遞增一樣，其目的都是為了后續(xù)用戶能夠根據(jù)需要對記錄記錄進(jìn)行排序。

    二是msDS-PasswordComplexity。通常情況下我們之所以要采用細(xì)粒度口令策略，往往是為了提高用戶口令策略的靈活性。特別是為了實(shí)現(xiàn)對服務(wù)器用戶與普通用戶實(shí)現(xiàn)不同道口令策略。如對服務(wù)器用戶的口令要求進(jìn)行復(fù)雜性的認(rèn)證。而這個(gè)參數(shù)就是為實(shí)現(xiàn)這個(gè)目的而設(shè)的。顧名思義，這個(gè)參數(shù)就是用來控制是否需要啟用口令復(fù)雜性的策略。如果起用的話，則這個(gè)策略會(huì)強(qiáng)制要求用戶的口令包含數(shù)字、大寫字母、小寫字母和特殊字符的組合作為其口令的一部分。一般情況下，只要啟用了這個(gè)策略，那么就要求用戶所設(shè)置的口令中必須要包含三種以上的字符。不過對于普通用戶來說，這么高的安全策略有點(diǎn)大材小用。為此一般只針對服務(wù)器的帳戶才啟用這個(gè)口令復(fù)雜性策略。

    三是msDS-MinimunPasswordAge參數(shù)。這個(gè)口令會(huì)控制將口令重新設(shè)置為不同口令必須等待的最少天數(shù)。這個(gè)參數(shù)跟上面的參數(shù)作用類似，也是為了提高密碼的安全性所涉及的。設(shè)置這個(gè)參數(shù)的目的就是不允許用戶簡單的通過輪轉(zhuǎn)口令變化的方式來保持相同的口令。某人情況下這個(gè)參數(shù)的值是3。也就是說，在三天之內(nèi)不運(yùn)行采用相同的口令。

    其他的參數(shù)跟普通口令策略類似，這里就不做過多的參數(shù)了。在這眾多的參數(shù)中，系統(tǒng)管理員特別需要注意的還是***個(gè)參數(shù)，即跟口令策略優(yōu)先級相關(guān)的數(shù)字。在設(shè)置這個(gè)參數(shù)的時(shí)候，一定要為后續(xù)的口令策略留有余地，要能夠方便后續(xù)優(yōu)先性的調(diào)整。

    2、 手工更改或者創(chuàng)建細(xì)粒度口令策略。

    除了使用向?qū)е?，域管理員還可以通過手工來創(chuàng)建口令策略，或者說對已有的口令力策略進(jìn)行修改。雖然說筆者不建議這么做，但是系統(tǒng)畢竟還提高了這一個(gè)功能。

    如果需要手工更改或者創(chuàng)建口令策略的話，則可以在管理工具菜單中打開ADSIEdit工具。打開這個(gè)工具后，可以選擇創(chuàng)建或者修改，來維護(hù)特定的口令策略。在維護(hù)的時(shí)候，這里可以調(diào)整利用向?qū)?chuàng)建過程中的任何一個(gè)參數(shù)，包括優(yōu)先性、口令復(fù)雜性策略等等。如果采用手工創(chuàng)建口令策略，需要注意為這個(gè)口令策略取名字的時(shí)候，要保證其名字的唯一。否則的話，系統(tǒng)會(huì)報(bào)錯(cuò)。

【相關(guān)文章】

• 服務(wù)器虛擬化平臺(tái):VMWare ESX 3.5安裝圖記

• Windows Server 2008測試：更快、更安全，唯缺虛擬化

• Windows Server 2008虛擬化功能解析