如何设置多个密码和帐户锁定策略

自 Windows Server 2008 以来，Microsoft 已允许管理员为 Active Directory 中的域创建多个密码策略。在现代的云环境中，使用策略锁定较高权限的帐户并定期进行审核非常重要。

以下是有关如何在您的环境中启用多个密码和帐户锁定策略的分步指南。这也称为细粒度密码策略。

不要忘记，您始终可以使用 Netwrix 的免费 AD 帐户工具来更快地调查
用户帐户锁定情况。

在尝试此操作之前，请确保您的域和林功能级别至少为 2008 或更高，并且您以域管理员（或更高级别）身份登录。

Active Directory 将这些新密码策略存储在密码设置容器 (PSC) 中 - 这是我们开始的地方：

1. 从开始菜单打开 adsiedit.msc
2. 右键单击左侧窗格中的“ADSI Edit”并选择“Connect To”
3. 在“名称”框中，输入您希望实施此操作的域名，然后单击“确定”
4. 展开左侧树：DC=您的域-> CN=系统 -> CN= 密码设置容器

1. 右键单击右侧空白处，选择‘新建’->‘对象’->msDS-PasswordSettings ->下一步
2. 给这个政策一个名字，这里我称之为“首席执行官”->下一步

3. 对于向导提示的每个属性，填写适当的值：

   1. 密码设置优先级 - 0 向上

      • 这是密码策略应用于用户的顺序：较低
        数字表示更高的优先级（将覆盖其他优先级）。

4. 可逆加密启用 - 正确或错误

   • 使用可逆加密存储密码 - 不推荐！

5. 密码历史长度 - 0 到 1024

   • 用户更改密码后会记住多少个密码。

6. 启用密码复杂性 - true 或 false

   • 密码必须满足复杂度要求（即必须有数字、符号、大小写）
7. 最小密码长度 - 0 到 255

8. 最短密码期限 - 以 dd:hh:mm:ss 或（无）书写的时间跨度

   • 用户在被允许更改密码之前必须保留密码多长时间（停止更改，然后再次更改回来）
9. 最长密码期限 - 以 dd:hh:mm:ss 或（从不）书写的时间跨度

10. 锁定阈值 - 0 至 65535

    • 最多可以输入错误多少次密码，账户就会被锁定

11. 锁定观察窗口 - 以 dd:hh:mm:ss 或（无）书写的时间跨度

    • 查看以前的错误密码和锁定（如果需要）的时间。

12. 锁定持续时间 - 以 dd:hh:mm:ss 或（从不）书写的时间跨度

    • 一旦达到错误密码计数，帐户将被锁定多长时间
13. 单击“完成”，然后右键单击新密码策略并单击“属性”
14. 找到属性“msDS-PSOAppliesTo”并双击，然后双击“添加 Windows 帐户”

指定此密码策略应应用到的组或用户：

1. 完成后，一直按“确定”！

一旦您的新密码策略被复制到其他域控制器，它应该几乎立即被强制执行。

如果您足够幸运，拥有 Windows Server 2012 域，或者安装了远程服务器管理工具的 Windows 8 或更高版本的计算机，则此过程会更容易一些：

1. 打开 Active Directory 管理中心并连接到您的域
2. 导航到 ADSI 中的同一位置：域 -> 系统 -> 密码设置容器
3. 右键单击并选择“新建”->“密码设置”

将出现一个对话框，其中的选项与上述基本相同，但对某些持续时间的控制较少（例如，您无法设置最小/最大密码期限的持续时间（以小时或分钟为单位）。

1. 设置选项，然后添加应应用此密码策略的用户/组，然后按“确定”。

或者，您可以在两个 PowerShell 命令中完成全部操作，如下所示......

创建密码策略：

新 - ADFineGrainedPasswordPolicy - ComplexityEnabled：$true -LockoutDuration：“00:30:00” - LockoutObservationWindow：“00:30:00” - LockoutThreshold：“5” - MaxPasswordAge：“42.00:00:00” -MinPasswordAge： “1.00:00:00” - MinPasswordLength: “7” - 名称: “FriendlyNameHere” - PasswordHistoryCount: “24” - 优先级: “5” - ReversibleEncryptionEnabled: $false - 服务器: “domaincontroller.domain.local”

并将其应用于组或用户：

添加 - ADFineGrainedPasswordPolicySubject - 身份：“CN=FriendlyNameHere，CN=密码设置容器，CN=系统，DC=域，DC=本地” - 服务器：“domaincontroller.domain.local” - 主题：“DNPathToUserOrGroup”

同样，属性的描述如上所述。

我强烈建议设置细粒度密码策略 - 以下是我们设置的 4 层：

• 访客和“一次性”帐户
  - 允许简单密码，超过5个字符，无有效期
• 正式员工
  - 允许简单密码，超过 12 个字符，30 天有效期
• 财务及保密材料人员
  - 复杂密码，超过 12 个字符，30 天有效期，记住 12 个密码
• ICT 员工和管理员
  - 复杂密码，超过 12 个字符，14 天有效期，记住 12 个密码