Windows Server 2008 操作系统为组织提供一个方法,可以为域中的不同集合的用户定义不同的密码和账号锁定策略。在Microsoft Windows 2000和Windows Server 2003 活动目录域中,只能有一个密码策略和账号锁定策略应用到域中的所有的用户。这些策略在域的缺省的域策略中指定。结果是,那些想为不同集合的用户定义不同的密码和账号锁定策略的组织只能创建密码过滤器或部署多个域来实现。由于不同的原因这些方法的成本都很高。
Fine-grained 密码策略能够做什么?
您能够使用fine-grained 密码策略在一个域中指定多个密码策略。您能够使用Fine-grained 密码策略来将不同的密码和账号锁定策略应用到域中不同集合的用户。
例如,您能够将更严格的设置应用到特权账号,不太严格的设置应用其他账号。在其他的情况中,您也许想为这样的账号应用一个指定的密码策略,它们的密码和其他数据源要同步。
应用该策略之前要考虑的事情
Fine-grained 策略只能应用于用户对象(或inetOrgPerson 对象如果使用它而不是用户对象的话)和全局安全组。在缺省情况下,只有Domain Admins 组中的成员能够设置Fine-grained 密码策略。然而,您可以将该权限委派给其他用户。域的功能级别必须是Windows Server 2008。
Fine-grained 密码策略不能直接应用到组织单位(OU)。要将Fine-grained 密码策略应用到OU中的用户,您可以使用一个影子组。
影子组是一个全局安全组,该组逻辑上映射到一个OU来强制密码策略。您能够将OU中的用户添加到新创建的影子组中,然后应用Fine-grained 密码策略到该影子组。您也可以为其他的OU创建额外的影子组。如果您将用户从一个OU移动到另外一个OU,您必须更新对应的影子组的成员。
Fine-grained 密码策略不会干涉同一个域中自定义的密码过滤器。那些部署了自定义的密码过滤器到运行Windows 2000 或Windows Server 2003的域控制器的单位,能够使用这些密码过滤器来为密码做额外的增强限制。
该特性能够提供哪些新的功能?
存储Fine-grained 密码策略
要存储Fine-grained 密码策略,Windows Server 2008 在活动目录目录服务架构中包含了两个新的对象:
o Password Settings Container
o Password Settings
Password Settings Container (PSC)在缺省情况下被创建在域的System 容器中。您可以通过活动目录用户和计算机管理工具,选种高级特性选项来查看它。它存储域的Password Settings objects (PSOs) 。
您不能重命名、移动或删除该容器。尽管您可以创建额外的自定义的PSCs ,它们不会被考虑当策略的结果集在计算对象的时候。因此,这也不是推荐的做法。
PSO 的属性的设置能够在Default Domain Policy(除Kerberos设置外) 中设置。这些设置包括下面这些密码设置属性。
o Enforce password history
o Maximum password age
o Minimum password age
o Minimum password length
o Passwords must meet complexity requirements
o Store passwords using reversible encryption
这些设置也包含下面这些账号锁定设置属性:
o Account lockout duration
o Account lockout threshold
o Reset account lockout after
此外,PSO还有下面两个新的属性:
o PSO link。 这是一个多值属性,它可以被链接到用户或组对象上。
o Precedence。 这是一整数值,用来解决冲突,如果多个PSO 被应用到一个用户或组对象上。
这九个属性是mustHave 属性。意思是您必须为每个属性定义一个值。来自多个PSO 的设置不能被合并。
定义fine-grained 密码策略的范围
PSO 能够被链接到和PSO位于同一个域的用户(或inetOrgPerson)或组对象。
o PSO 有一个名称为msDS-PSOAppliesTo 的属性,它包含了只到用户或组的正向链接。msDS-PSOAppliesTo 属性是多值的,它意味着您能够将一个PSO应用到多个用户或组。您能够创建一个密码策略并将它应用到不同集合的用户或组。
o名为msDS-PSOApplied 的新属性已经被添加到Windows Server 2008 的用户和组中。msDS-PSOApplied 属性包含一个到PSO的反向链接。因为该属性有一个反向链接,一个用户或组能够有多个PSO 应用到它。在这种情况下,这些应用的设置被RSOP计算。
您能够链接一个PSO到其他类型的组除了全局安全组之外。然而,当RSOP在确定用户或组的时候,只有那些被链接到全局安全组或用户的PSO才被考虑。那些链接到分布式组或其他类型的安全组将被忽略