TechNet 庫(kù) Windows Server Windows?Server?2008?R2 und Windows Server?2008 瀏覽 Windows Server 技術(shù) Active Directory 服務(wù) Active Directory Domain Services Active Directory Domain Services for Windows Server 2008 Getting Started 嚴(yán)格的密碼和帳戶鎖定策略配置循序漸進(jìn)指南 步驟 1：創(chuàng)建 PSO 步驟 2：將 PSO 應(yīng)用到用戶和全局安全組 步驟 3：管理 PSO 步驟 4：查看用戶或全局安全組的結(jié)果 PSO 附錄 A：嚴(yán)格的密碼和帳戶鎖定策略概述 附錄 B：PSO 屬性約束 附錄 C：對(duì)嚴(yán)格的密碼和帳戶鎖定策略實(shí)施基于組的管理

步驟 1：創(chuàng)建 PSO

更新時(shí)間: 2010年7月

應(yīng)用到: Windows Server 2008, Windows Server 2008 R2

創(chuàng)建 PSO

您可以創(chuàng)建密碼設(shè)置對(duì)象 (PSO)：

• 使用 ADSI Edit?
  
  
• 使用 ldifde?
  
  

使用 ADSI Edit 創(chuàng)建 PSO

Active Directory 服務(wù)界面編輯器 (ADSI?Edit) 提供了 Active Directory 域服務(wù) (AD?DS) 林中全部對(duì)象和屬性的視圖。您可以使用 ADSI?Edit 查詢、查看和編輯 AD?DS 對(duì)象和屬性。

Domain Admins?中的成員身份或同等身份是完成此過程所需的最低要求。 查看有關(guān)使用適當(dāng)帳戶和組成員關(guān)系的詳細(xì)信息，請(qǐng)?jiān)L問本地默認(rèn)組和域默認(rèn)組(http://go.microsoft.com/fwlink/?LinkId=83477)（可能為英文鏈接）。

使用 ADSI Edit 創(chuàng)建 PSO 的步驟

1. 依次單擊“開始”、“運(yùn)行”，鍵入?adsiedit.msc，然后單擊“確定”。

   備注
   如果您是第一次在域控制器上運(yùn)行 ADSI?Edit，則繼續(xù)執(zhí)行步驟?2。否則，繼續(xù)執(zhí)行步驟?4。 ?

   ?

2. 在 ADSI Edit 管理單元中，右鍵單擊?ADSI Edit，然后單擊“連接到”。

3. 在“名稱”中，鍵入要在其中創(chuàng)建 PSO 的域的完全限定的域名 (FQDN)，然后單擊“確定”。

4. 雙擊該域。

5. 雙擊?DC=<domain_name>。

6. 雙擊?CN=System。

7. 單擊?CN=Password Settings Container。

   會(huì)顯示所選域中已創(chuàng)建的所有 PSO 對(duì)象。

8. 右鍵單擊?CN=Password Settings Container，單擊“新建”，然后單擊“對(duì)象”。

9. 在“創(chuàng)建對(duì)象”對(duì)話框的“選擇類”下，單擊?msDS-PasswordSettings，然后單擊“下一步”。

10. 在“值”中，鍵入新 PSO 的名稱，然后單擊“下一步”。

11. 繼續(xù)該向?qū)?#xff0c;為所有?mustHave?屬性輸入適當(dāng)?shù)闹怠?/p>

    重要事項(xiàng)
    若要禁用帳戶鎖定策略，請(qǐng)為?msDS-LockoutThreshold?屬性分配值 0。 ?

    ?

    備注
    若要避免 ADSI?Edit 出現(xiàn)錯(cuò)誤，必須以 d:hh:mm:ss 格式（推薦）或 I8 格式為四個(gè)與時(shí)間相關(guān)的 PSO 屬性（msDS-MaximumPasswordAge、msDS-MinimumPasswordAge、msDS-LockoutObservationWindow?和?msDS-LockoutDuration）輸入值。請(qǐng)注意，僅在 Windows Server?2008 版本的 ADSI?Edit 中才能使用 d:hh:mm:ss 格式。有關(guān)如何將時(shí)間單位值轉(zhuǎn)換為 I8 值的詳細(xì)信息，請(qǐng)參閱附錄 B：PSO 屬性約束中的“負(fù) PSO 屬性值”。 ?

    ?

    備注
    有關(guān)與時(shí)間相關(guān)的 PSO 屬性的詳細(xì)信息，請(qǐng)參閱附錄 B：PSO 屬性約束中的“PSO 屬性參考完整性”。 ?

    ?

    ?

    屬性名稱	描述	可接受的值范圍	示例值
    msDS-PasswordSettingsPrecedence	密碼設(shè)置優(yōu)先級(jí)	大于 0	10
    msDS-PasswordReversibleEncryptionEnabled	用戶帳戶的密碼可還原的加密狀態(tài)	FALSE/TRUE（推薦：FALSE）	FALSE
    msDS-PasswordHistoryLength	用戶帳戶的密碼歷史長(zhǎng)度	0 到 1024	24
    msDS-PasswordComplexityEnabled	用戶帳戶的密碼復(fù)雜性狀態(tài)	FALSE/TRUE（推薦：TRUE）	TRUE
    msDS-MinimumPasswordLength	用戶帳戶的最短密碼長(zhǎng)度	0 到 255	8
    msDS-MinimumPasswordAge	用戶帳戶的最短密碼期限	（無(wú)） 00:00:00:00 到?msDS-MaximumPasswordAge?值	1:00:00:00（1 天）
    msDS-MaximumPasswordAge	用戶帳戶的最長(zhǎng)密碼期限	（永不過期） msDS-MinimumPasswordAge?值到（永不過期） 不能將?msDS-MaximumPasswordAge?設(shè)置為零	42:00:00:00（42 天）
    msDS-LockoutThreshold	用戶帳戶鎖定的鎖定閾值	0 到 65535	10
    msDS-LockoutObservationWindow	用戶帳戶鎖定的觀察窗口	（無(wú)） 00:00:00:01 到?msDS-LockoutDuration?值	0:00:30:00（30 分鐘）
    msDS-LockoutDuration	鎖定用戶帳戶的鎖定持續(xù)時(shí)間	（無(wú)） （永不過期） msDS-LockoutObservationWindow值到（永不過期）	0:00:30:00（30 分鐘）
    msDS-PSOAppliesTo	到此密碼設(shè)置對(duì)象所應(yīng)用到的對(duì)象的鏈接（正向鏈接）	用戶或全局安全組的 0 個(gè)或多個(gè) DN	“CN=u1,CN=Users,DC=DC1,DC=contoso,DC=com”

    備注
    若要?jiǎng)?chuàng)建 PSO 而不將其應(yīng)用到任何用戶或全局安全組，請(qǐng)繼續(xù)執(zhí)行步驟?17。否則，繼續(xù)執(zhí)行步驟?12。 ?

    ?

12. 在向?qū)У淖詈笠粋€(gè)屏幕上，單擊“更多屬性”。

13. 在“選擇要查看的屬性”菜單上，單擊“可選”或“兩者”。

14. 在“選擇要查看的屬性”下拉列表中，選擇?msDS-PSOAppliesTo。

15. 在“編輯屬性”中，添加要將該 PSO 應(yīng)用到的用戶或全局安全組的可分辨名稱，然后單擊“添加”。

16. 重復(fù)執(zhí)行步驟?15 將該 PSO 應(yīng)用到更多用戶或全局安全組。

17. 單擊“完成”。

使用 ldifde 創(chuàng)建 PSO

您可以將?ldifde?命令用作創(chuàng)建 PSO 的腳本化備用方案。

LDAP 數(shù)據(jù)交換格式 (LDIF) 是一種 Internet 標(biāo)準(zhǔn)文件格式，該文件格式可用于對(duì)符合輕型目錄訪問協(xié)議 (LDAP) 標(biāo)準(zhǔn)的目錄執(zhí)行批處理操作。可以使用 LDIF 導(dǎo)出和導(dǎo)入數(shù)據(jù)。LDIF 可執(zhí)行批處理操作，如對(duì) AD?DS 執(zhí)行的添加、創(chuàng)建和修改。安裝 AD?DS 角色時(shí)，提供了一個(gè)名為 LDIFDE 的工具程序，以支持基于 LDIF 文件標(biāo)準(zhǔn)進(jìn)行批處理操作。有關(guān)詳細(xì)信息，請(qǐng)參閱“使用 LDIFDE 將目錄對(duì)象導(dǎo)入或?qū)С龅?Active Directory”(http://go.microsoft.com/fwlink/?LinkId=87487)（可能為英文網(wǎng)頁(yè)）。

Domain Admins?中的成員身份或同等身份是完成此過程所需的最低要求。 查看有關(guān)使用適當(dāng)帳戶和組成員關(guān)系的詳細(xì)信息，請(qǐng)?jiān)L問本地默認(rèn)組和域默認(rèn)組(http://go.microsoft.com/fwlink/?LinkId=83477)（可能為英文鏈接）。

使用 ldifde 創(chuàng)建 PSO 的步驟

1. 通過將以下示例代碼保存為一個(gè)文件（例如，pso.ldf），來定義新 PSO 的設(shè)置：

   dn: CN=PSO1, CN=Password Settings Container,CN=System,DC=dc1,DC=contoso,DC=com changetype: add objectClass: msDS-PasswordSettings msDS-MaximumPasswordAge:-1728000000000 msDS-MinimumPasswordAge:-864000000000 msDS-MinimumPasswordLength:8 msDS-PasswordHistoryLength:24 msDS-PasswordComplexityEnabled:TRUE msDS-PasswordReversibleEncryptionEnabled:FALSE msDS-LockoutObservationWindow:-18000000000 msDS-LockoutDuration:-18000000000 msDS-LockoutThreshold:0 msDS-PasswordSettingsPrecedence:20 msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1,DC=contoso,DC=com
   

   備注
   使用?ldifde?創(chuàng)建 PSO 時(shí)，必須以 I8 格式為四個(gè)與時(shí)間相關(guān)的 PSO 屬性（msDS-MaximumPasswordAge、msDS-MinimumPasswordAge、msDS-LockoutObservationWindow?和?msDS-LockoutDuration）輸入值。有關(guān)如何將時(shí)間單位值轉(zhuǎn)換為 I8 值的詳細(xì)信息，請(qǐng)參閱附錄 B：PSO 屬性約束中的“負(fù) PSO 屬性值”。 ?

   ?

   備注
   有關(guān)與時(shí)間相關(guān)的 PSO 屬性的詳細(xì)信息，請(qǐng)參閱附錄 B：PSO 屬性約束中的“PSO 屬性參考完整性”。 ?

   ?

2. 打開命令提示符。若要打開命令提示符，請(qǐng)依次單擊“開始”和“運(yùn)行”，再鍵入?cmd，然后單擊“確定”。

3. 鍵入以下命令，然后按 Enter：

   ldifde –i –f pso.ldf
   

?

參數(shù)	描述
ldifde	指定一個(gè)支持基于 LDIF 文件格式標(biāo)準(zhǔn)進(jìn)行批處理操作的工具程序。
-i	指定開啟導(dǎo)入模式。
-f pso.ldf	指定創(chuàng)建的輸入文件的名稱。

轉(zhuǎn)載于:https://www.cnblogs.com/liangwang/p/5302787.html

總結(jié)

以上是生活随笔為你收集整理的创建 PSO的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。