Windows Server 2008下细粒度口令策略的实现

来源:IT专家网  作者:susan
Windows Server 2008下细粒度口令策略的实现
摘要:在以前的Windows Server版本中,很难实现细粒度口令策略。不过在2008的活动目录中,对此进行了改善,可以通过跨越单个域实现粒度口令策略。也就是说,系统管理员可以为同一个域中不同用户设置不同的口令策略。如可以为服务器用户设置比较复杂的口令策略,而为普…

内容提示:在以前的Windows Server版本中,很难实现细粒度口令策略。不过在2008的活动目录中,对此进行了改善,可以通过跨越单个域实现粒度口令策略。也就是说,系统管理员可以为同一个域中不同用户设置不同的口令策略。如可以为服务器用户设置比较复杂的口令策略,而为普通用户设置比较宽松的口令策略。

【IT专家网独家】Windows Server 2008细粒度口令策略无疑提高了域用户口令的灵活性。可以实现根据用户的级别来定义不同的口令策略。

一、细粒度口令策略的实现前提

不过细粒度口令策略毕竟是Windows Server 2008服务器的功能,为此在使用起来有一定的限制条件。具体的来说,要在Windows Server 2008环境下实现细粒度口令策略,要遵循如下几个限制:

1、如果管理员需要实现精细粒度的口令策略,则必须要将域中的所有域控制器升级到2008并将整个域都处于2008的功能模式下。虽然在以前的版本中,可以在森林域控制器上通过第三方口令更改实用程序来模拟实现这一功能,但是毕竟不是Windows环境下的功能。总之,要实现细粒度口令策略,必须要将整个域设置为2008级别。也就是说,域中所有的DC必须运行在2008的操作系统环境。注意这里只是强调所有的域控制器,包括辅助控制器,需要运行2008以上版本的操作系统。而客户端的话,没有这方面的强制要求。客户端可以运行诸如XP等版本的操作系统。

2、如果在域环境中启用了细粒度口令策略,那么如果与其他口令策略发生冲突的时候,需要注意一个优先性的问题。也就是说需要注意哪一个口令策略会被覆盖,哪一个口令策略会生效。通常情况下,精细粒度口令策略要比域口令策略的优先性高。也就是说,如果他们两者发生冲突的话,那么域控制器将会采用精细粒度口令策略,而会忽视域口令策略。其次应用于用户的精细粒度口令策略总是优先于应用于组的口令策略设置。也就是说,无论什么情况下,精细粒度口令策略往往具有比较高的优先性。了解这个基本原则,对于后续口令策略的规划、口令安全性设计等工作具有非常重大的意义。

3、了解精细口令策略在继承上的限制。如果在组的级别上或者用户级别上设置普通用户口令策略的话,可以为同一个用户设置多个口令力策略。其最终采用的口令策略通常情况下是比较复杂的一个策略。不过如果为用户设置细粒度口令策略的话,则与此不同。一般情况下,只允许系统管理员向一个用户施加一组口令策略。如果向同一个用户设置多个口令策略,一般也不会出错。只是其最终生效的,是具有比较低数字优先级的策略。注意,这又涉及到了另一个优先级问题。为了避免后续维护的麻烦,笔者建议最好只为一个用户设置一个密码策略。如果设置多个的话,最后系统管理员都会头疼。特别是普通口令策略、域口令策略与组口令策略、细粒度口令策略不要同时应用在一个用户上,那会增加口令策略的复杂性。想想看,如果同时在一个用户上应用这些口令策略,那么判断其最终生效的是哪一个口令策略,就需要花费管理员不少的经历。为了简化起见,虽然口令策略系统会采用不同的优先级来避免冲突,但是笔者还是建议同一个用户最好只采用一种口令力策略。

【相关文章】好搜一下
Win 2003远程管理的实现

Win 2003远程管理的实现

大多数的网络系统管理员都会使用一些工具对服务器进行远程维护。对于采用Window…