Windows域密码安全策略
域策略中账户策略和密码策略的配置
密码策略是控制密码的复杂性和使用期限,对密码长度和复杂性要求严格并不一定意味着用户和管理员将使用强密码。虽然密码策略可能要求用户遵循技术复杂性要求,但还需要附加的强安全策略来确保用户创建难以遭破坏的密码。例如,Password! 可能符合所有密码复杂性要求,但是要破解该密码并非难事。若了解密码创建人的特定情况,而且密码是基于其家庭地址、生日或名字的,就可以猜到该密码。制作一张介绍弱密码的海报,并将其贴在公共场所,如饮水机或复印机附近,是设法让用户接受强密码的组织安全计划的一种策略。您的组织应该设立强密码创建准则,组织中所有服务帐户密码也应该遵循这些准则。而本人建议在设置密码策略中应该注意以下几点:
在策略中最为重要的是帐户策略,而其中包括了密码策略、帐户锁定策略和 Kerberos 策略安全设置。密码策略提供了一种方法来设置高安全环境的复杂性和更改计划。帐户锁定策略允许跟踪失败的密码登录尝试以便在必要时启动帐户锁定。Kerberos 策略用于域用户帐户,并确定与 Kerberos 身份验证协议相关的设置。
在域的组策略中,管理员可以修改相应的策略和配置,以达到安全的目的。我们可以通过策略来修改文件系统的权限,使不同用户拥有不同的访问权限,从而限制一些用户访问个别的文件,也杜绝用户修改系统文件;另外,我们也可以修改注册表中的设置,注册表中的信息是十分强大的,运用组策略修改注册表能达到意想不到的效果,包括前面所说的屏保就是通过注册表来修改的,还有IE的起始页设置、桌面和菜单的设置、各种安全选项和系统信息的配置以及阻止某些应用程序的设置等等;还可以配置系统服务,开启和关闭一起服务,以自己周围环境为基准配置,从而达到速度快和安全性高的双重性标准;而配置审核和事件日志,能让管理员清晰又全面去诊断用户电脑的问题,也能更加及时地反映出问题,对于管理来说是必不可少的一项配置策略;而安全的最基础就是账户和密码策略,也是应用最为平常的一个策略,几乎每个管理员都要配置这个策略以求达到更加安全的目的,而我则在下面的文章中详细讲这个策略中的各种功能和此策略中各个细节策略如何去配置。
windows 2003 域密码策略设置
windows 2003 域密码策略设置在域控制器上的开始菜单中打开“运行”,输入DSA.MSC后回车,即打开活动目录的用户和计算机管理控制台。
在域节点右键,进入属性,打开组策略选项卡,在里边找到Default Domain policy这个GPO选中他,点击下面的编辑,现在就会打开组策略编辑器,在这个组策略编辑器中找到一下路径:计算机配置-WINDOWS设置-安全设置-帐户策略-密码策略。
在这个路径下找到“密码必须符合复杂性要求”设置为禁用,“密码长度最小值”设置为0。
这样你就可以创建空密码的用户帐户了(当然在这里你也可以为你的域设置你自己需要的密码策略),完成了以上设置后并没有完,还有最后一步,就是在开始菜单的运行中输入“GPUPDATE /FORCE”这个命令。
另:1、如何在WIN2003中添加用户?每次添加用户时总是提示我不符合密码策略,怎么办?问:如何在WIN2003中添加用户?我将公司的主域服务器改成win2003,但是win2003却不让我添加用户,每次添加用户是总是提示我不符合密码策略,怎么办?答:对于2003域,默认域的安全策略与2000域不同。
要求域用户的口令必须符合复杂性要求,且密码最小长度为7。
口令的复杂性包括三条:一是大写字母、小写字母、数字、符号四种中必须有3种,二是密码最小长度为6,三是口令中不得包括全部或部分用户名。
当然也可以重新设默认域的安全策略来解决。
操作如下:开始/程序/管理工具/域安全策略/帐户策略/密码策略:密码必须符合复杂性要求:由“已启用”改为“已禁用”;密码长度最小值:由“7个字符”改为“0个字符”。
使此策略修改生效有如下方法:1、等待系统自动刷新组策略,约5分钟~15分钟2、重启域控制器(若是修改的用户策略,注销即可)3、使用gpupdate命令。
(推荐使用这个)说明:2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce 命令在03中已由gpupdate取代。
设置安全策略步骤
实验七设置安全策略实验背景某公司所有员工的初始密码为benet2.管理员担心公司员工更改的密码过于简单,容易被扫描软件扫描扫到,同时管理员担心用户长久不更改密码影响安全性.对于公司域控制器,管理员需要验证都有谁在什么时候登录.有人反应公司的文件服务器上的资料有丢失现象,管理员需要查找是否有人有意的删除文件.由于域用户帐号一旦登录域内成员主机成功,访问文件服务器不在需要做身份验证,为了放置有人恶意尝试用户密码,公司要求所有员工有三次输入密码机会,三次输入错误自动锁定帐号.试行一段时间后很多人帐号经常锁定,不得不频繁找管理员,管理员需设定用户帐号的30分钟自动解锁.公司有人反应访问加入域后,用域用户帐号登录后不能自动关机,公司要求所有员工下班必须关机离开,管理员解决这个问题.有部分输入domain users组的员工需要登录域控制器,可这些员工反应他们无法登录域控制器,管理员解决这个问题文件服务器公司要求所有员工可以网络访问,但不可以对文件服务器本地登录,公司要求管理员完成,并对文件服务器做登录审核.对于文件服务器,公司要求本地登录成功后需要提示:标题:重要警告 ,内容:服务器重地,请不要做任何删除和剪切.实验目标1 所有域用户帐号在设置密码时,必须符合复杂密码要求,密码长度至少7位,密码必须每60天更新一次2 设置三次密码锁定,设置锁定复位时间30分钟.3 为域控制器启动帐号的登录审核,对文件服务器启动对象审核4 把域用户帐号加入关闭系统,保证可以下班关机5 把域用户帐号加入本地登录安全策略6 文件服务器上把所有的用户帐号加入拒绝网络访问,对文件服务器启动审核7 对文件服务器设置登录提示实验环境1 一人一组2 准备2台Windows Server 2003 虚拟机1台域控制器,1台成员主机3 实验网络为/24实验步骤:1 在域控制器上完成以域管理员登录域控制器,设置域安全策略 gpupdate更新域安全策略创建用户帐号test重启成员主机,用test帐号登录输入简单密码123输入正确密码2 在域控制器上以域管理员登录更新域测试重新启动成员主机,故意输入密码3次错误输入正确密码,帐号已经被锁定思考:test帐号即使用正确密码都没有办法登录,目前用什么方法可以让test帐号马上登录成功.在test帐号锁定的状态下,如果在另外一个域内的成员主机上用test登录,可以登录成功吗3 域管理员在域控制器上设置域控制器安全策略的登录审核利用gpupdate更新策略.登录域控制器查看结果查看登录日志思考:如果域管理员administrator登录成员主机,会有日志结果吗.域管理员在域控制器上设置域安全策略在文件服务器上对公司资料设置everyone审核以test帐号登录文件服务器,删除文件,查看结果思考,用test帐号本身可以查看事务日志吗4 用域用户帐号test在成员主机上登录,关机结果为域管理员在域控制器上设置域安全策略gpupdate更新策略重新启动成员成员主机,用test帐号登录,可关机以test帐号在域控制器上登录域管理员在域控制器设置域控制器安全策略更新策略重新启动域控制器,用test登录验证结果6 尝试网络登录文件服务器,可以成功域管理员在域控制器上设置域安全策略拒绝网络访问更新策略重新启动成员主机,验证结果7 域管理员设置文件服务器的本地策略注销文件服务器,登录查看结果实验问题1 密码策略包含哪些选项2账户锁定策略哪些选项3本地安全策略,域控制器安全策略,域安全策略三种策略之间的关系,及各自生效的范围.成员计算机和域的设置项冲突时,什么策略生效域控制器和域的设置项冲突时,什么策略生效4审核策略包含哪些内容5审核文件及文件夹主要步骤有哪些6 域管理员登录文件服务器,他发现帐号策略,和密码策略为不可设置状态,为什么会这样,7 用户每次登录都会显示上次登录帐号,如何取消以加强安全性.工作组模式下,文件服务器帐号小王为空密码,小王发现登录系统后无法用小王访问文件服务器,如何解决这道题目为可选答题,基础好的同学思考回答。
大致描述windows域的权限策略管理方法
大致描述windows域的权限策略管理方法Windows域是指在Windows操作系统下,组成一个逻辑网络的一组计算机与资源。
在Windows域中,每个计算机和资源都有一个安全标识符(SID),可以通过SID来标识某个用户或组的身份。
为了保护Windows 域中的计算机和资源,管理员可以采用不同的权限策略来管理安全性。
首先,Windows域中的每个计算机都有一个本地安全策略(Local Security Policy),用于控制本地计算机上的安全性。
管理员可以使用本地安全策略来配置诸如密码策略、账户锁定策略、用户权限等多种安全设置。
其次,Windows域管理员可以使用组策略(Group Policy)来集中管理计算机和用户的安全权限。
组策略是一种集中管理和部署Windows设置和安全策略的方法。
它可以将安全设置、应用程序设置等都集中在一个地方进行管理,并自动将这些设置应用到每个计算机和用户账户上。
通过组策略,管理员可以配置Windows域中的账户锁定政策、密码策略、账户属性设置、用户权限等多种安全设置。
除了本地安全策略和组策略,Windows域还提供了访问控制列表(Access Control List,ACL)的权限管理方法。
ACL是一种用来控制对资源访问权限的数据结构,可以对用户、组和计算机进行权限控制。
管理员可以通过设置ACL来允许或拒绝用户对文件、文件夹、共享资源等的访问和操作权限。
综上所述,Windows域的权限策略管理方法包括本地安全策略、组策略和访问控制列表等。
管理员可以使用这些方法来控制用户、计算机和资源的访问权限,保护Windows域中的安全性。
Windows域密码过期时间、提示时间和复杂度等设置方法
Windows域密码过期时间提示时间和复杂度等设置
要求:域用户密码有效期为180天,密码到期前30天登录系统时会提示需要更改密码。
密码必须不少于6位,新密码不能使用前2次已经使用过的密码。
具体设置:在域控制器设置(windows 2003 server EN)
1、Domain security policy
——>account policies
——>password policy
——>Enforce Password history (2)|| Maxnum password age (180)|| Mininum password length (6)
2、Domain security policy
——>local policies
——>Security policy
——>Interactive logon:Prompt user to change password before expiration (30)
组策略的应用次序本地->站点->域->OU,如果策略有冲突,则后应用的生效组策略的应用顺序是OU-----域-----站点-----本地。
OU策略级别最高,会覆盖后面的域、站点、本地策略,当它们有相同策略时,最终生效的是OU策略!s
打开组策略-----windows设置-------安全设置--------本地策略------安全选项------交互式登陆:在密码到期前提示用户更改密码,双击打开后,定义你需要设置的天数
OK。
出现密码不满足密码策略的要求提示
出现密码不满足密码策略的要求提示由于域的规约而导致的问题,问题在于密码设定不符合策略组的规约。
此时需要到域策略中设置响应选项来降低密码的复杂度。
(默认的复杂度需要至少7字符,且包含多个字母和数字)Windows Server 2003解决办法是:选择开始>程序>管理工具>域安全策略>帐户策略>密码策略密码必须符合复杂性要求:由“已启用”改为“已禁用”;密码长度最小值:由“7个字符”改为“0个字符”使此策略修改生效有如下方法:1、等待系统自动刷新组策略,约5分钟~15分钟2、重启域控制器(若是修改的用户策略,注销即可)3、使用gpupdate命令仅刷新计算机策略:gpupdate/target:computer仅刷新用户策略:gpupdate/target:user二者都刷新:gpupdateWindows Server 2008不一样的是, 管理员不能从本地策略组中将其密码策略修改, 而需要从GPM(Group Policy Management)"组策略管理器"中进行修改. 步骤如下:Windows Server 2008中, 打开GPM(Group Policy Management)方法: 依次选择start(开始)->Administrator Tools(管理者工具)->Group Policy Management(组策略管理器)->Run as administrator/Open(使用管理员权限打开)开启GPM之后, 依次展开树状节点:Forest: [YOUR DOMAIN NAME(你的域名)]->domain(域)->[YOUR DOMAIN NAME(你的域名)]->Group Policy Object(组策略对象). 右键点击Default Domain Policy(默认域策略), 选择Edit(编辑)以上操作后将打开Group Policy Management Editor(组策略管理器)对话框, 依次展开树状节点: Computer Configuration(计算机配置)->Windows Settings(Windows设置)->Security Settings(安全设置)->Account Policy(允许策略)->Password Policy(密码策略) 可以看到关于密码的策略设定, 只要将倒数第二项: Password must meet complexity requirments(密码复杂度)项目设成disable即可. 其余的策略因情况而设定.最后选择start->run(运行), 输入gpupdate强制更新组策略设置 .等待命令行结束之后即可完成.。
win2008主控域密码策略的修改方法
win2008域管理员无法更改本地安全策略,打开密码策略是灰色的,无法更改。
的解决如下!域组策略域组策略是指应用于站点,域或者组织单元(OUs)的策略,它的最终作用对象通常是多个用户或者计算机,可以在DC上点开始–运行–然后键入gpmc.msc来运行。
针对您的问题,密码策略是属于域级别的策略,必须在默认域策略或链接到根域的新策略中定义。
所以虽然您可以在Default domain controller policy 中定义密码策略,但是因为Default domain controller policy只应用到了domain controllers OU而不是整个域,所以在Default domain controller policy 中定义密码策略是无效的。
另外由于域组策略的优先级高于本地组策略的优先级,在域密码策略应用并生效后,所有已经加入域的电脑(包括DC)的本地策略中,密码相关设置都会变成灰色不可修改状态。
从您第一次上传的截图来看,您打开的是本地策略,在本地策略中的,密码策略就应该是灰色的,无法编辑。
这是因为当一台服务器被提升为域控制器后,本地策略不再有效,取而代之的是默认域策略。
当我们点击开始–运行–然后键入gpedit.msc回车后,本地策略编辑器就会被打开。
而由于域组策略的优先级高于本地组策略的优先级,所有在域组策略中已经设定过的策略都将变为灰色不可修改状态(比如密码策略)。
如果您要修改密码策略,可以用如下方法:1.点击开始–运行–然后键入gpmc.msc,回车后打开“组策略管理”控制台。
2.展开到“域-> ->组策略对象(是指您的域名)”。
3.右键点击Default Domain Policy然后选择“编辑”。
4. 展开到“计算机配置->策略-> Windows 设置->安全设置->账户策略- >密码策略”。
5.您可以在右边的窗口中定义密码相关的策略,此策略会应用于整个域中的所有账户。
Win2012R2改域密码策略
更改Server 2012域用户密码策略1、windows 2012建域前是可以更改密码策略,建域后不能更改密码策略处理办法如下:在WIN2012中点"开始"-"运行",输入"mmc"回车.2、在控制台中点"文件"-"添加/删除管理单元",点"添加",选"组策略管理编辑器"-"添加"-浏览->'在域/ou'下选择’default domain policy‘点确定"完成".再点"关闭"-"确定".这样就在控制台中打开了"本地计算机策略".3、依次展开:"计算机配置"-"WINDOWS设置"-"帐户策略"-"密码策略".双击右边的"密码必须符合复杂性要求",选择"已禁用".刷新策略后就可以修改了!4、按windows+R,调出运行介面,最后在运行里输入gpupdate /force 更新策略5、最后关闭mmc,点击不保存即可不像 Windows Server 2003 ,Windows Server 2012 域控制器的管理工具中没有“域安全策略”,修改域密码策略在新的“组策略管理编辑器”中:开始 > 管理工具 > 组策略管理(或者用命令 gpmc.msc > 林 [domain] > 域 > [domain] > Default Domain Policy > 点击右键,选择编辑,打开“组策略管理编辑器” > 计算机配置 > 策略 > Windows 设置 > 安全设置 > 账户策略 > 密码策略修改之后,可以通过命令 gpupdate 来刷新组策略。
windows 2008 r2 AD密码策略
windows 2008 r2 AD密码策略新装了一台windows 2008 r2 升為AD。
发现密码策略是灰色的,查看域安全策略及域default 策略,都是没有定义!!在域控制器上,执行本地策略,发现都是灰色不可修改状,没法设置?这是为何??组策略分为两种:本地组策略和域组策略。
本地组策略本地组策略是指应用于本机,且设定后只会在本机起作用的策略,运行的方法为点开始–运行–然后键入gpedit.msc,在弹出本地组策略编辑器中即可进行设置。
域组策略域组策略是指应用于站点,域或者组织单元(OUs)的策略,它的最终作用对象通常是多个用户或者计算机,可以在DC上点开始–运行–然后键入gpmc.msc来运行。
针对您的问题,密码策略是属于域级别的策略,必须在默认域策略或链接到根域的新策略中定义。
所以虽然您可以在Default domain controller policy 中定义密码策略,但是因为Default domain controller policy只应用到了domain controllers 而不是整个域,所以在Default domain controller policy 中定义密码策略是无效的。
另外由于域组策略的优先级高于本地组策略的优先级,在域密码策略应用并生效后,所有已经加入域的电脑(包括DC)的本地策略中,密码相关设置都会变成灰色不可修改状态。
因为当一台服务器被提升为域控制器后,本地策略不再有效,取而代之的是默认域策略。
当我们点击开始–运行–然后键入gpedit.msc回车后,本地策略编辑器就会被打开。
而由于域组策略的优先级高于本地组策略的优先级,所有在域组策略中已经设定过的策略都将变为灰色不可修改状态(比如密码策略)。
如果您要修改密码策略,您可以使用以下方法:1.点击开始–运行–然后键入gpmc.msc,回车后打开“组策略管理”控制台。
2.展开到“域-> -> 组策略对象(是指您的域名)”。
windows域密码过期时间、提示时间和复杂度等设置方法
Windows域密码过期时间提示时间和复杂度等设置要求:域用户密码有效期为180天,密码到期前30天登录系统时会提示需要更改密码。
密码必须不少于6位,新密码不能使用前2次已经使用过的密码。
具体设置:在域控制器设置(windows 2003 server EN)1、Domain security policy——>account policies——>password policy——>Enforce Password history (2)|| Maxnum password age (180)|| Mininum password length (6)2、Domain security policy——>local polic ies——>Security policy——>Interactive logon:Prompt user to change password before expiration (30)组策略的应用次序本地->站点->域->OU,如果策略有冲突,则后应用的生效组策略的应用顺序是OU-----域-----站点-----本地。
OU策略级别最高,会覆盖后面的域、站点、本地策略,当它们有相同策略时,最终生效的是OU策略!s打开组策略-----windows设置-------安全设置--------本地策略------安全选项------交互式登陆:在密码到期前提示用户更改密码,双击打开后,定义你需要设置的天数OK教你如何用WORD文档(2012-06-27 192246)转载▼标签:杂谈1. 问:WORD 里边怎样设置每页不同的页眉?如何使不同的章节显示的页眉不同?答:分节,每节可以设置不同的页眉。
文件――页面设置――版式――页眉和页脚――首页不同。
2. 问:请问word 中怎样让每一章用不同的页眉?怎么我现在只能用一个页眉,一改就全部改了?答:在插入分隔符里,选插入分节符,可以选连续的那个,然后下一页改页眉前,按一下“同前”钮,再做的改动就不影响前面的了。
windowsserver 域 密码策略
windowsserver 域密码策略
Windows Server域的密码策略是用来管理和规范域中用户帐户的密码设置的一组策略和设置。
通过使用密码策略,管理员可以确保域用户帐户的密码符合一定的安全要求,从而提高整个网络环境的安全性。
在Windows Server域中,密码策略主要包括以下方面:
1. 密码长度和复杂性要求:可以设置密码的最小长度、必须包含的字符类型(如大写字母、小写字母、数字、特殊字符等)、以及是否必须符合复杂性和历史密码的要求等。
2. 密码过期和重设策略:可以设置密码的有效期限,以及在密码过期后要求用户更改密码的方式和时间间隔。
此外,还可以配置密码重设策略,例如要求用户回答安全问题或通过电子邮件验证来重设密码。
3. 密码更改历史记录:可以跟踪和记录用户帐户的密码历史,以便了解用户过去的密码是什么,从而避免用户使用旧密码重新设置。
4. 帐户锁定策略:可以设置帐户被锁定的情况,例如连续多次输入错误的密码或登录失败次数达到一定阈值时自动锁定帐户。
此外,还可以配置帐户解锁的方式和时间间隔。
5. 特殊字符和空格要求:可以要求密码中必须包含特殊字符或空格,以提高密码的独特性和安全性。
通过合理配置Windows Server域的密码策略,管理员可以确保域用户帐户的密码安全可靠,并降低因弱密码导致的安全风险。
常用域策略
常用域策略
常用域策略是指在WindowsServer操作系统中,使用Active Directory域服务配置的一系列安全设置,用于控制域成员计算机的用户和计算机对象的行为和访问权限。
常用的域策略包括但不限于以下几种:
1. 密码策略:用于强制规定密码复杂度、密码长度、密码历史等要求,保障用户密码的安全性。
2. 帐户锁定策略:用于限制登录失败次数,当登录失败次数超出指定阈值后,会自动锁定帐户,增加系统安全性。
3. 审计策略:用于记录域成员计算机上的安全事件,如用户的登录、访问文件等行为,方便管理员进行安全审计和追溯。
4. 用户权限策略:用于控制用户或用户组对计算机资源的访问和操作权限。
5. 软件安装策略:用于控制域成员计算机上可安装的软件,防止未经授权的软件被安装,并提高系统安全性。
通过合理配置以上常用的域策略,可以有效提高系统的安全性和稳定性,保障用户和系统的信息安全。
- 1 -。
windows2003密码策略
Windows2003密码策略设置密码对服务器安全是一个重要的部分,设置安全的密码和符合复杂度的密码是服务器安全保障的重要组成部分,在windows server2003系统的“账户和本地安全策略”中包括“账户策略”和“本地策略”两个方面,而其中账户策略又包括密码策略,账户锁定策略和kerberos|三个方面,下面我们重点介绍“密码策略”的设置。
密码策略的设置密码策略作用于域账户或本地账户,其中包含以下几个方面:1.密码必须符合复杂性要求2.密码长度最小值3.密码最长试用期限4.密码最短使用期限5.强制密码历史6.用可以还原的加密来存储密码下面来介绍本地计算机上配置密码安全策略的方法。
对于本地计算机本地账户,密码策略是在本地安全设置中进行的。
下面是具体方法。
第一部选择《开始菜单》—管理工具—本地安全策略菜单操作打开本地安全设置页面。
对于本地计算机中的用户“账户和本地策略”都是在这个管理工具中进行配置的。
如下图:第二部因为密码策略是属于用户策略范围,所以单击选择《用户策略》选项,然后再选择《密码策略》选项,在右面的窗口中将可以选择密码策略的详细配置项。
如下图:密码必须符合复杂性要求。
此安全设置确定密码是否必须符合复杂性要求,在更改或创建密码时执行复杂性要求。
如果启用此策略,密码必须符合下列最低要求:《1》不能包含用户的账户名,不能包含用户用户姓名中超过两个连续字符的部分《2》最少有6个字符长《3》必须包含一下字符中的三类字符英文大小字母A到Z英文小写字母a到z10个基本数字非字母符号如果永乐此项策略,而您的用户和密码不超过此要求时系统会提示报错。
如果报错了,您可能回想自己写的密码已经满足了密码策略的要求。
因为你所写的密码可能包含了以上四种中的三种,如果达不到密码复杂性的要求。
更改或者是创建密码时,会强制执行密码复杂性的要求。
默认情况下,在服务器上执行是禁用的。
这个选项的配置方法是双击《密码复杂性的要求》选项打开对话框。
域帐号锁定策略
域帐号锁定策略
计算机配置-策略-windows设置-安全设置-账户策略-账户锁定
帐户锁定时间:
此安全设置确定锁定帐户在⾃动解锁之前保持锁定的分钟数。
可⽤范围从 0 到 99,999 分钟。
如果将帐户锁定时间设置为 0,帐户将⼀直被锁定直到管理员明确解除对它的锁定。
如果定义了帐户锁定阈值,则帐户锁定时间必须⼤于或等于重置时间。
默认值: ⽆,因为只有在指定了帐户锁定阈值时,此策略设置才有意义。
帐户锁定阈值
此安全设置确定导致⽤户帐户被锁定的登录尝试失败的次数。
在管理员重置锁定帐户或帐户锁定时间期满之前,⽆法使⽤该锁定帐户。
可以将登录尝试失败次数设置为介于 0 和 999 之间的值。
如果将值设置为 0,则永远不会锁定帐户。
在使⽤ Ctrl+Alt+Del 或密码保护的屏幕保护程序锁定的⼯作站或成员服务器上的密码尝试失败将计作登录尝试失败。
默认值: 0。
重置帐户锁定计数器
此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。
可⽤范围是 1 到 99,999 分钟。
如果定义了帐户锁定阈值,此重置时间必须⼩于或等于帐户锁定时间。
默认值: ⽆,因为只有在指定了帐户锁定阈值时,此策略设置才有意义。
windows2012 域服务器的账户锁定策略
windows2012 域服务器的账户锁定策略(原创版)目录一、引言二、Windows Server 2012 域服务器概述1.实验设备与环境2.实验目的与要求三、域服务器搭建1.配置 Windows Server 2012 静态 IP2.安装域控制器3.验证安装4.创建用户四、Windows 加入域1.服务器之间的 Ping 通测试2.修改 Win7 的 DNS 设置3.重启网卡4.登录域控制器五、Linux 加入域1.修改 Kali 的 DNS 设置2.安装软件3.编辑/etc/resolv.conf4.编辑/etc/hosts文件5.加入域六、结论正文一、引言在企业网络环境中,为了提高网络安全和管理效率,常常需要搭建域服务器来实现集中式的用户管理和权限控制。
本文将以 Windows Server 2012 为例,介绍如何搭建域服务器,以及实现账户锁定策略。
二、Windows Server 2012 域服务器概述1.实验设备与环境本次实验采用的设备包括:一台安装了 Windows Server 2012 的服务器,一台安装了 Windows 7 的客户端计算机,以及一台安装了 Kali Linux 的 Linux 客户端计算机。
实验环境为局域网,所有设备均通过静态 IP 地址进行连接。
2.实验目的与要求通过本次实验,我们将搭建一个基于 Windows Server 2012 的域服务器,并实现账户锁定策略。
实验要求所有设备之间可以互相 Ping 通,客户端能够加入域并登录域控制器。
三、域服务器搭建1.配置 Windows Server 2012 静态 IP为了确保设备之间的通信顺畅,我们需要为 Windows Server 2012 设置静态 IP 地址。
2.安装域控制器在 Windows Server 2012 中,我们需要添加“域控制器”角色功能,以实现域的创建和管理。
3.验证安装安装完成后,我们可以通过命令行工具“netdom query fsmo”来验证域控制器是否安装成功。
更改AD域安全策略-密码必须符合复杂性要求
更改AD域安全策略-密码必须符合复杂性要求
在域环境中,修改域⽤户密码时,会提⽰不符合密码策略, 更改“本地安全策略”是不会对域产⽣任何的作⽤的。
上图中可以看,这⾥按钮都是灰⾊的!
下⾯这个步骤教你如何找到“域安全策略”
1.打开服务管理器
2.'⼯具'⾥选择'组策略管理'
3.右键选择Edit(编辑),点击:Computer Configuration(计算机配置)–Policies(策略)–Windows Settings(Windows设置)–Security Settings(安全设置)
4.双击'密码测略',选择禁⽤
5.更新⼀下,使策略修改⽣效。
1、等待系统⾃动刷新组策略,约5分钟~15分钟.
2、重启域控制器(若是修改的⽤户策略,注销即可)
3、使⽤gpupdate命令
仅刷新计算机策略:gpupdate/target:computer
仅刷新⽤户策略:gpupdate/target:user
⼆者都刷新:gpupdate /force。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Kerberos 策略
强制用户登录限制
服务票证最长寿命
用户票证最长寿命
用户票证续订最长寿命
计算机时钟同步的最大容差
默认情况下,这些策略设置适用于与域相关联的所有域帐户和用户帐户。这是因为组策略是沿着ActiveDirectory结构向下继承的。为了更好地认识这些策略如何影响域帐户和本地用户帐户,了解以下两点非常重要:这些策略的设置位置,以及组策略的继承方式如何影响所有不同的用户帐户。(请注意,Kerberos策略设置仅适用于域用户帐户,这是因为只有域用户帐户使用Kerberos进行身份验证。本地用户帐户使用NTLMv2、NTLM 或LM 进行身份验证。)
目标帐户策略设置
对于创建的每个对象,都需要填写所有的属性才能针对每位用户创建帐户策
略。这里有个新属性msDS-PSOAppliesTo,用于确定哪些对象将接收这组策略设置。这是关键属性,通过它可以将特定设置分配给特定用户。此属性下的列表可以是用户也可以是组,但对于建立访问控制列表的情形而言,则最好使用组,而不是用户。因为组更稳定,更容易找到,而且处理起来通常容易得多。
Figure 3 Password attributes in Active Directory
Active Directory 属性名属性描述
msDS-PasswordSettingsPrecedence当同一用户在使用不同密码策略的多个组中具有成员资格时,建立优先次序。
起立欢呼
数年来,我们一直希望能够在同一ActiveDirectory域中使用多个密码,现在终于实现了。从密码的角度而言,整个域中的每一个用户都处于同一安全级别的情形已经一去不复返了。例如,现在您能够为普通用户设置8个字符的密码,而为IT专业人员(可能具有管理员权限)设置复杂一些的 14 个字符的密码。
如果您倾向于使用其他方法来修改帐户策略设置,则不必使用ADSIEdit。您可以使用能够访问ActiveDirectory数据库的任何其他 LDAP 编辑工具,甚至可以使用脚本。在WindowsServer2008中实现密码策略后,就需要使用与过去截然不同的方法了。使用新功能意味着您需要考虑哪些用户和组要接受哪些密码设置。
Figure 1 Account policies
密码策略
强制密码历史
密码最长使用期限
密码最短使用期限
最短密码长度
密码必须满足复杂性要求
使用可逆加密存储密码
帐户锁定策略
帐户锁定时间
帐户锁定域值
重置帐户锁定计数器之前经过的时间...
设置帐户策略
在 Active Directory内部,组策略建立并控制整个域的帐户策略。这是在首次安装ActiveDirectory域时发生的,并且是通过获得链接到 ActiveDirectory 中域节点的默认组策略对象 (GPO)完成的。此GPO名为默认域策略,具有帐户策略的所有三部分的默认配置。图 2显示了 WindowsServer2003域中密码策略项初始设置的完整列表。
您不但要考虑密码长度,还要考虑密码策略设置附带的其他一些限制,包括最短和最长使用期限、历史等。其他注意事项包括如何控制用户锁定策略设置和Kerberos设置。当前的帐户策略设置与在WindowsServer 2008中的ActiveDirectory数据库中配置的帐户策略设置存在一对一关系。但请注意,既然这些策略设置已是ActiveDirectory对象和属性,那么每个策略设置的名称也会与以前不同,这很重要。
如果您是 Windows 域的管理员,一定会非常清楚域用户帐户的密码策略的相关限制。但随着WindowsServer2008的到来,其中一些限制将不复存在。让我们来看看这个新操作系统将如何解决这样一个问题:不能实现多个密码策略。
如果您运行的是 Windows? 域当前的任意版本(Windows NT?、Windows2000ActiveDirectory?或 WindowsServer?2003ActiveDirectory),就会受到每个域只能有一个密码策略的限制。事实上,对您产生限制的不仅是密码策略,而且还有帐户策略涵盖的范围更广的设置。
密码策略的改变
可以看到,Windows的当前版本处理用户帐户密码的方式简单直观。这包括一组适用于所有域帐户的密码规则,以及通过链接到ActiveDirectory中域节点的组策略对象来管理帐户策略的方式。随着Windows Server2008的到来,这一切就都被判出局了。
Windows Server 2008 以及一同推出的ActiveDirectory基础结构采用了另一种方法。将帐户策略置于GPO中只允许对所有域用户帐户设置一种策略,而现在已将这些设置移到了ActiveDirectory的更深部分。此外,帐户策略也不再基于计算机帐户。现在,您可以让个人用户和用户组来控制其密码限制。对于Windows管理员来说,这是一个全新的概念,毕竟我们长期以来一直在处理计算机帐户的帐户策略。
无法对当前密码策略执行的操作
关于 Active Directory(在WindowsServer2003中)的当前实现,目前仍存在对密码控制的许多误解,尽管经过了
多年的严格测试,也未找到证据证明那些误解是对的。很明显(或应该说),策略是无法通过设计以外的其他方式起作用的。
此GPO中的设置控制所有域用户帐户以及每台域计算机的帐户策略。请记住,所有域计算机(台式机和服务器)都具有本地安全帐户管理器(SAM),这很重要。此默认GPO中的设置控制的就是这一SAM。当然,本地 SAM 也包含每台计算机的本地用户帐户。
通过 GPO 沿着 ActiveDirectory结构向下进行的正常继承,默认域策略中的设置可影响所有域计算机。由于此GPO链接到域节点,所以它将影响此域中的所有计算机帐户。
进行此更改的原因是组策略并非针对同一域中的多个密码而设计。在WindowsServer2008中,每个域实现多个密码的功能非常棒,但并非每个人都觉得该功能使用起来很
方便。不过,随着时间的推移,用于配置设置的界面将越来越易于访问。现在,您需要采用ActiveDirectory数据库设置工具对系统进容器下创建一个名为msDS-PasswordSettings的密码设置对象(PSO),该容器的LDAP路径为“cn=PasswordSettings,cn=System,dc=domainname,dc=com”。请注意,所用域的域功能级别必须设置为WindowsServer2008。在此新对象下,您需要填写若干属性信息,如图3 所示。
msDS-PasswordReversibleEncryptionEnabled在是否启用可逆加密之间切换。
msDS-PasswordHistoryLength确定中间必须隔有多少个不重复的密码后,才能重用某个密码。
msDS-PasswordComplexityEnabled确定密码要求使用的字符数目和字符类型。
也就是说,很多管理员都相信,可以为同一域中的多个用户设置多个密码策略。他们认为您可以创建一个GPO,并将其链接到某个组织单位(OU)。该思想是将用户帐户移到OU以使GPO影响这些对象。在GPO内部,对帐户策略进行修改以创建更安全的密码策略(可能是通过将最大密码长度设置为14实现此目的)。但是,由于一些原因,此配置永远达不到期望的结果。首先,密码策略设置是基于计算机而非基于用户的策略。有了这种设置的前提条件之后,设置将永远无法影响用户帐户。其次,修改域用户帐户的帐户策略设置只有一种方法,即在链接到该域的GPO内部进行修改。链接到OU且被配置为更改帐户策略设置的那些 GPO,会修改驻留在 OU 中(或在链接的 OU 的子OU中)计算机的本地 SAM。
要想习惯使用ActiveDirectory数据库建立或修改帐户策略设置,会花费一些时间。但值得庆幸的是,新设置仿效了您熟悉的设置。当您开始使用WindowsServer2008后,请务必立即研究这些新设置,因为这些肯定是属于您首先完成的配置。
Windows Server 2008 中的帐户策略
在 Windows Server2008中,无需使用默认域策略建立帐户策略。实际上,您根本不会使用GPO为域用户帐户创建帐户策略。在 Windows Server2008中,会将您带到 ActiveDirectory数据库中进行修改。具体来说,您将使用一个类似于 ADSIEdit的工具来修改ActiveDirectory对象及其关联的属性。
另一个误解是,在根域(ActiveDirectory林的初始域)中建立的帐户策略设置将向下流动或继承到林中的子域。这同样并非事实,通过这种方式是无法使设置起作用的。链接到域和某个域中OU的GPO不会影响其他域中的对象,即使 GPO 链接到的域是根域也是一样。使 GPO 设置影响其他域中对象的唯一方法是将GPO链接到ActiveDirectory 站点。
msDS-MinimumPasswordLength确定最短密码长度。
msDS-MinimumPasswordAge确定用户密码最短使用多久后才可更改。
msDS-MaximumPasswordAge确定密码最长使用多久后会要求用户更改密码。
msDS-LockoutThreshold确定锁定用户帐户前允许的密码尝试失败次数。
msDS-LockoutObservationWindow确定密码计数器出现错误后多长时间进行重置。
msDS-LockoutDuration确定密码尝试失败次数过多导致帐户锁定后,帐户的锁定时长。
可以看到,与帐户策略设置相关的所有组策略设置都会作为属性复制。请注意,还存在一个优先设置;这对于在同一域中实现多个密码至关重要,这是因为必然会产生一些冲突,需要有处理这些冲突的机制。