使用 ldifde 创建细粒度密码策略

使用ldifde创建细粒度密码策略 在这篇短文中，我们将了解如何使用 ldifde 创建细粒度密码策略。 LDIFDE 是一款实用程序，可让您从 Active Directory 导入或导出信息。 LDIFDE 查询任何可用的域控制器以检索或更新 AD 信息。您可以使用 ldifde 命令作为创建 PSO 的可编写脚本的替代方法。我的上一篇文章（如何创建细粒度密码策略）中分享了有关 FGPP 的大量信息。我的上一篇文章展示了如何使用Active Directory 管理中心创建细粒度密码策略，而在本文中我们将使用 ldifde 创建细粒度密码策略。 关于 ldifde 命令，您可以在此处获取更多信息。

使用 ldifde 创建细粒度密码策略

第 1 步 - 通过将以下示例代码保存为文件来定义新 PSO 的设置。以 .ldf 作为扩展名保存文件名。

dn: CN=PSO1,CN=Password Settings Container,CN=System,DC=dc1,DC=contoso,DC=com
changetype: add
objectClass: msDS-PasswordSettings
msDS-MaximumPasswordAge:-1728000000000
msDS-MinimumPasswordAge:-864000000000
msDS-MinimumPasswordLength:8
msDS-PasswordHistoryLength:24
msDS-PasswordComplexityEnabled:TRUE
msDS-PasswordReversibleEncryptionEnabled:FALSE
msDS-LockoutObservationWindow:-18000000000
msDS-LockoutDuration:-18000000000
msDS-LockoutThreshold:0
msDS-PasswordSettingsPrecedence:20
msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1,DC=contoso,DC=com

例如，在我的例子中，它看起来像下面的屏幕截图所示。当您使用 ldifde 创建 PSO 时，四个与时间相关的 PSO 属性的值（msDS-MaximumPasswordAge、msDS-MinimumPasswordAge、 msDS-LockoutObservationWindow 和 msDS-LockoutDuration）必须以 I8 格式输入。有关如何将时间单位值转换为 I8 值的更多信息，请检查此链接。

第 2 步 - 保存文件后，您需要在命令提示符中运行以下命令。

ldifde -i -f pso.ldf

其中-i指定导入模式已打开。 -f pso.ldf 指定您创建的输入文件的名称。

第 3 步 - 要查看用户生成的 PSO，请打开 Active Directory 用户和计算机。 在视图菜单上，确保选中高级功能。在控制台树中，单击用户。 在详细信息窗格中，右键单击要查看生成的 PSO 的用户帐户，然后单击属性。单击属性编辑器选项卡，然后点击过滤。确保选中显示属性/可选复选框。确保选中显示只读属性/构造复选框。在“属性”列表中找到 msDS-ResultantPSO 属性的值。您现在应该看到您创建并应用于用户的 PSO。