在聽到女人抱怨世上沒有一個好男人時候,男人的感覺是五味雜陳的。聽同事抱怨密碼太復(fù)雜、太麻煩的時候,網(wǎng)管員的心是哇涼悲催的。在活動目錄(Active Directory)中啟用復(fù)雜性的密碼策略,比如密碼需要一定長度、需要經(jīng)常更改管理員密碼、不能使用上幾次的密碼……這些都可以提高整網(wǎng)絡(luò)的安全防護(hù)能力。但有時候,如果是普通的用戶可能并不需要這樣強大的密碼安全策略,而企業(yè)管理員的帳戶卻又需要用超強的密碼策略提升安全性。另一方面,對于一些服務(wù)賬戶(比如Exchange server,SQL server系統(tǒng)賬戶),我們需要它的密碼長度很長很復(fù)雜,但是又不能有鎖定閥值,倘若一旦有人惡意猜測導(dǎo)致鎖定服務(wù),那么也是一種拒絕服務(wù)的攻擊方式。
歷史長河中,使用Windows Server 2000和Server 2003的管理員根本無法提供這種分開來設(shè)置的個性化密碼策略。這是因為密碼策略只能指派到域(Site)上,不能單獨應(yīng)用于活動目錄中的對象。換句話說,密碼策略在域級別起作用,而且一個域只能有一套密碼策略。為解決這個問題,微軟在Windows server 2008的ADDS中引入了多元密碼策略(Fine-Grained Password Policy)的概念,這允許針對不同用戶或全局安全組應(yīng)用不同的密碼策略。
這項更新的背后,卻真是考驗管理員的耐性。不但要學(xué)會使用ADSIEdit以便能夠修改msDS-MinimumPasswordAge一類對象的屬性,還必須在使用LDIFDE工具前學(xué)會“負(fù)PSO 屬性值”的計算,當(dāng)然,如果你是PowerShell的高手則需要另說了。這些工具在創(chuàng)建和管理密碼設(shè)置時非常的難用,以至于某些管理員寧愿去創(chuàng)建新的域也不愿使用多元密碼策略。
在新一代的Windows Server 8 中,ADDS 針對管理員日常操作最大的改變則是便捷性,下面就以更新后的多元密碼策略(也有直接翻譯為:顆粒化密碼協(xié)議)為例,看一下Windows Server 8在ADDS中的改變:
Step1:打開“活動目錄管理中心”,在左側(cè)選擇本地域節(jié)點,檢查之前建立的一個名為salesuser1的用戶,如圖1所示,此用戶的狀態(tài)為禁用。
圖1 檢查用戶狀態(tài)
Step2:此時,我們選擇啟用帳戶將會彈出“無法啟用,密碼不符合域密碼策略”的提示,如圖2所示。
圖2: 未能啟用該帳戶
Step3:在本地域下依次展開“System容器”,找到“Password Settings Container”,在右側(cè)任務(wù)窗口中選擇“新建”-“密碼設(shè)置”,如圖3所示。
圖3 新建密碼策略
Step4:輸入新創(chuàng)建密碼設(shè)置的名稱和優(yōu)先級(優(yōu)先級數(shù)字低的密碼設(shè)置將將覆蓋數(shù)值高的密碼設(shè)置),然后針對需求取消密碼長度、期限和鎖定選項,如圖4所示。
圖 4 創(chuàng)建密碼設(shè)置
Step5:在下方“直接應(yīng)用到”的任務(wù)中,點擊“添加”,查找需要使用新密碼設(shè)置的用戶或組,然后點擊“確定”,如圖5所示。
圖 5 選擇用戶或組用于密碼設(shè)置
Step6:在用戶列表中,我們可以檢查新的密碼策略是否有效,可以選擇啟用該帳戶,并選擇重置密碼,輸入較為簡單的密碼。
Windows Server的每個新版本都會對Active Directory做出改動,通常是在性能上進(jìn)行一些微調(diào),有時也會對諸如管理控制臺進(jìn)行革新。通過以上簡單的幾步操作,管理員現(xiàn)在可以很對不同的應(yīng)用、不同的用戶需求,設(shè)置多樣化的密碼策略了。在這個彰顯個性的時代,Windows Server 8的改變正是讓管理員可以更簡便操作他的領(lǐng)域。