|
||||
目錄服務器DC的安全性至關重要,密碼的保護是安全性保護中重要的一環。為活動目錄制定密碼策略可以減少人為的和來自網絡入侵的安全威脅,保證活動目錄的安全。應用過Win2000/2003的用戶可能都記得,密碼策略需要指派到域上,不能單獨應用於活動目錄中的對象。換句話說,密碼策略在域級別起作用,一個域只能有一個密碼策略。
統一的密碼策略雖然大大提高了安全性,但是提高了域用戶使用的復雜度。舉個例子來說,企業管理員的帳戶安全性要求很高,需要超強策略,比如密碼需要一定長度、需要每兩周更改管理員密碼而且不能使用上幾次的密碼;但是普通的域用戶並不需要如此高的密碼策略,也不希望經常更改密碼並使用很長的密碼,超強的密碼策略並不適合他們。
為解決這個問題,在Win2008中引入了多元密碼策略(Fine-Grained Password Policy)的概念。多元密碼策略允許針對不同用戶或全局安全組應用不同的密碼策略,例如,可以為管理員組指派超強密碼策略,密碼16位以上、兩周過期;為服務帳號指派中等密碼策略,密碼31天過期,不配置密碼鎖定策略;為普通域用戶指派密碼90天過期等。多元密碼策略適應了不同用戶對於安全性的不同要求。
多元密碼策略部署要求有以下幾點:所有域控制器都是windows Server 2008,域功能級別為2008 Domain Functional Mode,使用ADSIEDIT或者LDIFDE工具進行管理,客戶端無需變更。
有一點需要注意,多元密碼策略只能應用於活動目錄中的用戶和全局安全組,而不能應用於活動目錄中的計算機對象、非域內用戶和組織單元OU。多元密碼策略雖然滿足了不同級別用戶對於密碼安全性的要求,但是配置多個密碼策略為管理員增加了管理復雜度,管理起來也不是很方便,所謂魚和熊掌不可兼得。