在 Active Directory 中配置域密码策略

---

为了确保 Active Directory 域中的用户帐户具有高级别安全性，管理员必须配置和实施域密码策略。密码策略应提供足够的复杂性、密码长度以及用户和服务帐户密码的更改频率。因此，您可以使攻击者在通过网络发送密码时难以暴力破解或捕获用户密码。

默认域策略中的密码策略

默认情况下，要设置 AD 域中用户密码的常见要求，请使用组策略 (GPO) 设置。域用户帐户的密码策略在默认域策略中配置。此策略链接到域的根，并且必须应用于具有 PDC 模拟器角色的域控制器。

1. 要配置 AD 帐户密码策略，请打开组策略管理控制台（

   gpmc.msc

   ）；

2. 展开您的域并找到名为默认域策略的 GPO。右键单击它并选择编辑；

   

3. 密码策略位于以下 GPO 部分：计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 帐户策略 -> 密码策略；

4. 双击策略设置进行编辑。要启用特定策略设置，请选中定义此策略设置并指定必要的值（在下面的屏幕截图中，我已将最小密码长度设置为 8 个字符）。保存更改；

   

5. 新的密码策略设置将在计算机启动过程中的某个时间（90 分钟）内应用于后台的所有域计算机，或者您可以通过运行以下命令立即应用该策略

   gpupdate /force

   命令。

您可以从 GPO 管理控制台或使用 PowerShell cmdlet Set-ADDefaultDomainPasswordPolicy 更改密码策略设置：

Set-ADDefaultDomainPasswordPolicy -Identity a-d.site -MinPasswordLength 10 -LockoutThreshold 3

Windows 上的基本密码策略设置

让我们考虑所有可用的 Windows 密码设置。 GPO中有六种密码设置：

• 强制执行密码历史记录 - 确定 AD 中存储的旧密码数量，从而防止用户使用旧密码。

  但是，域管理员或在AD中被授予密码重置权限的用户可以手动设置帐户的旧密码；

• 密码最长期限 - 设置密码有效期（以天为单位）。密码过期后，Windows会要求用户更改密码。确保用户定期更改密码；

  您可以使用 PowerShell 了解特定用户的密码何时过期：

  Get-ADUser -Identity j.werder -Properties msDS-UserPasswordExpiryTimeComputed | select-object @{Name="ExpirationDate";Expression= {[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed") }} 

• 最小密码长度——建议密码至少包含8个符号（如果此处指定0，则不需要密码）；

• 最短密码期限 - 设置用户更改密码的频率。此设置不允许用户过于频繁地更改密码，以便在连续多次更改密码后将其从密码历史记录中删除，从而恢复到他们喜欢的旧密码。一般来说，值得在这里设置 1 天，以便用户可以在密码被泄露时自行更改密码（否则管理员将不得不更改它）；

• 密码必须满足复杂性要求 - 如果启用该策略，用户不能在密码中使用帐户名（不超过 2 个字符）

  username

  或者

  Firstname

  连续），密码中还必须使用 3 种符号：数字（0-9）、大写字母、小写字母和特殊字符（$、#、% 等）。另外，为了防止使用弱密码（来自密码字典），建议定期审核AD域中的用户密码；

• 使用可逆加密存储密码 - 用户密码以加密方式存储在 AD 数据库中，但在某些情况下，您必须向某些应用授予对用户密码的访问权限。如果启用此策略设置，密码的保护程度较低（几乎是纯文本）。它不安全（如果 DC 受到损害，攻击者可以访问密码数据库；只读域控制器 (RODC) 可以用作保护措施之一）。

如果用户尝试更改与域中的密码策略不匹配的密码，则会出现错误消息：

Unable to update the password. The value provided for the new password does not meet the length, complexity, or history requirements of the domain.

此外，应在 GPO 部分帐户锁定密码中配置以下密码设置：

• 帐户锁定阈值 - 用户在帐户锁定之前尝试登录失败（密码错误）的次数；

• 帐户锁定持续时间 - 如果用户多次输入错误密码，帐户将被锁定多长时间；

• 重置帐户锁定计数器 - 帐户锁定阈值计数器重置之前的分钟数。

如果特定域帐户被锁定过于频繁，您可以使用此方法确定帐户锁定的来源。

AD域密码策略默认设置如下表：

PolicyDefault valueEnforce password history24 passwordsMaximum password age42 daysMinimum password age1 dayMinimum password length7Password must meet complexity requirementsEnabledStore passwords using reversible encryptionDisabledAccount lockout durationNot setAccount lockout threshold0Reset account lockout counter afterNot set

在安全合规性工具包中，Microsoft 建议使用以下密码策略设置：

• 强制执行密码历史记录：24

• 密码最长期限：未设置

• 最短密码期限：未设置

• 最小密码长度：14

• 密码必须满足复杂性：已启用

• 使用可逆加密存储密码：已禁用

在最近的安全基线 1903 建议中，Microsoft 指定无需为用户启用密码过期策略。密码过期不会提高安全性，只会造成不必要的问题（链接）。

如何查看AD域当前的密码策略？

您可以在默认域策略中查看当前的密码策略设置

gpmc.msc

控制台（在“设置”选项卡上）。

您还可以使用PowerShell显示密码策略信息（计算机上必须安装AD PowerShell模块）：

Get-ADDefaultDomainPasswordPolicy

ComplexityEnabled: True
DistinguishedName: DC=a-d,DC=com
LockoutDuration: 00:20:00
LockoutObservationWindow: 00:30:00
LockoutThreshold: 0
MaxPasswordAge: 60.00:00:00
MinPasswordAge: 1.00:00:00
MinPasswordLength: 8
objectClas : {domainDNS}
PasswordHistoryCount: 24
ReversibleEncryptionEnabled: False

此外，您还可以使用 gpresult 命令检查任何域计算机上当前的 AD 密码策略设置。

Active Directory 域中的多个密码策略

域控制器是 PDC 模拟器 FSMO 角色的所有者，负责管理域密码策略。需要域管理员权限才能编辑默认域策略设置。

最初，域中可能只有一个密码策略，该策略应用于域根并无一例外地影响所有用户（存在一些细微差别，但我们稍后会讨论）。即使您创建具有不同密码设置的新 GPO 并将其应用到具有强制继承和阻止继承参数的特定 OU，它也不会应用于用户。

域密码策略仅影响用户AD对象。提供域信任关系的计算机密码有自己的 GPO 设置。

在 Windows Server 2008 中的 Active Directory 之前，每个域只能配置一个密码策略。在较新版本的 AD 中，您可以使用细粒度密码策略 (FGPP) 为不同的用户或组创建多个密码策略。粒度密码策略允许您创建和实施不同的密码设置对象 (PSO)。例如，您可以为域管理员帐户创建增加密码长度或复杂性的 PSO，或者使某些帐户的密码更简单，甚至完全禁用它们。

在工作组环境中，您必须使用本地 GPO 编辑器 - gpedit.msc 在每台计算机上配置密码策略，或者您可以使用此方法在计算机之间传输本地 GPO 策略设置。