[翻译]活动目录在Windows Server 2008 中的改进（3）：颗粒化密码策略 颗粒, Server

ghjconan

　　Windows Server 2008 为组织提供了一种方法，使得组织能在某一域中针对不同的用户集来定义不同的密码和账号锁定策略。在Windows 2000及Windows Server 2003的活动目录域中，只有一种密码和账户锁定策略能被应用到域中的所有用户。这些策略被定义在默认的域策略中。因此，希望针对不同的用户集采取不同的密码及账户锁定组织不得不建立密码策略筛选器或者部署多个域。这些选择会因为不同的原因而照成高昂的代价。
　　颗粒化的密码策略能干什么？
　　你能够使用颗粒化的密码策略在同一个域内指定多样化的密码策略。你能够使用颗粒化的密码策略对同一域内的不同用户集应用不同的密码和账号锁定策略限制。
　　举例来说，你能够针对特权账号使用严密的设定，而对其它用户使用不太严密的设定。在其他场景中，比如你希望对密码与其它数据源同步的账号应用特殊的策略。
　　还有其它要特别考虑的吗？
　　颗粒化的密码策略值应用于用户对象（或者用来替代用户对象的inetOrgPerson对象）以及全局安全组。在默认情况下，只有Domain Admins组的成员才能设置本策略。然而，你也能够委派其他用户来设置此策略。但是域功能级必须是Windows Server 2008。
颗粒化的密码策略不能被直接应用到OU。但是为了达到此目的，你可以使用影子组。
　　影子组实质上是全局安全组，在逻辑上被映射到OU，用来强化颗粒化密码策略。你向OU添加用户就好像向影子组添加成员一样，随后将颗粒化密码策略应用到影子组。你能够根据你的需要为其它OU创建偶外的影子组。如果你从一个OU向另一个OU移动用户，那么你必须将账户组成员属性更新到对应的影子组。
　　颗粒化的密码策略不受你必须在同一域中应用的自定义的密码策略筛选器的影响。将自定义的密码策略筛选器部署到使用Windows 2000 or Windows Server 2003作为域控制器的组织，能够继续使用这些筛选器来强化额外的密码限制。
　　这项特性提供了什么新功能？
　　储存颗粒化密码策略
　　为了储存颗粒化密码策略，Windows Server 2008在AD DS架构中包含了两个新的对象类：
　　密码设置容器（Password Settings Container）
　　密码设置（Password Settings）
　　密码设置容器默认被创建在域的系统容器下。你能够通过使用活动目录用户与计算并启用高级特性来查看。它为域储存了密码设置对象（Password Settings objects 一下简称PSOs）。
　　你不能够重命名，移动，或者删除这个容器。尽管你能够创建额外的自定义的密码设置容器，他们不被针对一个对象计算的组策略结果集计算在内。因此创建额外的自定义的密码设置容器不被推荐。
　　密码设置对像包含了能在默认域策略中定义的所有属性设置（除了Kerberos设置）。这些设置包含了以下密码设置属性：
　　　　强制密码历史
　　　　密码最长使用期限
　　　　密码最短使用期限
　　　　密码长度最小值
　　　　密码必须符合复杂性要求
　　　　用可还原的加密来储存密码
　　这些设定也包含了以下的账户锁定设置
　　　　账户锁定时间
　　　　账户锁定阈值
　　　　复位账户锁定计数器
　　另外，PSO也包含了以下两个新属性：
　　　　PSO链接：这是链接到用户或者组对象的多值属性
　　　　优先：这是一个用来解决多个PSO被应用到一个单个用户或组对象产生冲突的整数值
　　这九个属性值必须被定义，缺一不可。来自多个PSO的设置不能被合并。
　　定义颗粒化密码策略的范围
　　PSO能够被链接到和PSO在同一域中的用户（或者inetOrgPerson）或者组对象。
　　PSO包含了描述PSO正向链接的属性值，msDS-PSOApplies。msDS-PSOApplies是一个多值属性。因此你能够将一个PSO链接到多个用户或组。
　　称为msDS-PSOApplied的新属性值在2008中被添加到用户和组对象。这个属性包含了PSO的反向链接。因为msDS-PSOApplied属性有反向链接，因此一个用户或组可以被多个PSO应用。你能够将PSO链接除了全局安全组之外的其它类型的组。

使用图形界面（adsiedit.msc）建立PSO
1.        单击开始按钮，单击运行，输入 adsiedit.msc ，单击确定
*如果你是在DC上第一次运行adsiedit.msc，请继续看第二步，不是的话跳到第四步。
2.        在ADSI EDIT界面中，右击ADSI Edit，再单击连接到
3.        在Name属性框中输入你想要创建PSO的域的完全合格域名（FQDN），然后单击确定
4.        双击域
5.        双击DC=<域名>
6.        双击CN=System
7.        双击密码设置
8.        右击 CN=Password Settings Container，单击新建，再单击对象
9.        在建立对象对话框中，选择msDS-PasswordSettings，单击下一步
10.        输入PSO的名称，单击下一步
11.        根据向导，输入必备属性
msDS-PasswordReversibleEncryptionEnabled

属性名称	描述	例值
msDS-PasswordSettingsPrecedence	密码设置优先级	10
msDS-PasswordReversibleEncryptionEnabled	用可还原的加密来储存密码	FALSE
msDS-PasswordHistoryLength	历史密码长度	24
msDS-PasswordComplexityEnabled	用户密码复杂程度	TRUE
msDS-MinimumPasswordLength	用户密码长度最小值	8
msDS-MinimumPasswordAge	密码最短使用期限 (只允许负值，计算方法见文末)	-864000000000 (1 day)
msDS-MaximumPasswordAge	密码最长使用期限 (只允许负值，计算方法见文末)	-17280000000000 (20 days)
msDS-LockoutThreshold	账户锁定阈值	0
msDS-LockoutObservationWindow	复位账户锁定计数器的时间 (只允许负值，计算方法见文末)	-18000000000 (30 minutes)
msDS-LockoutDuration	账户锁定时间 (只允许负值，计算方法见文末)	-18000000000 (30 minutes)
msDS-PSOAppliesTo	PSO被应用到(正向连接)	CN=u1,CN=Users,

12.        在向导的最后一页，单击更多属性
13.        在选择查看何种属性菜单中，单击可选或者两者
14.        在选择一种属性进行查看的下拉菜单中，选择msDS-PSOAppliesTo
15.        在编辑属性中，添加需要应用PSO的用户和全局安全组的相对可分辨名称
16.        重复第15步，如果你需要将PSO应用到多个用户和全局安全组
17.        单击完成

附：某些涉及时间属性值的确定
时间单位         运算方法
'm' minutes     -60*(10^7) = - 600000000
'h' hours         -60*60* (10^7) = -36000000000
'd' days           -24*60*60*(10^7) = -864000000000

英文原文：http://technet2.microsoft.com/wi ... 0bade6cd751033.mspx

Virtual Lab里面也有相关实验……

[ 本帖最后由 ghjconan 于 2007-7-16 09:35 编辑 ]

yansy

不错，呵呵
若能加上原文的链接就更好了。

ghjconan

原帖由 Tsuy 于 2007-7-11 13:52 发表
不错，呵呵
若能加上原文的链接就更好了。

原文那个链接比较麻烦，我自己本来想保存起来，然后再打开接着翻译也比较简单，结果那个链接第二次打开就找不到文章了，每次都是通过 http://technet2.microsoft.com/windowsserver2008 来找 AD DS的相关内容

夜里晒太阳

不错。。。俺英文不佳，不用看豆芽最好呵呵。

papertiger

太好了，2003的帐户密码策略太死板了。

英年早肥

是不是可以考虑将原文复制过来

这样除了参照性，对于大家英文阅读翻译能力也有帮助。^_^

Anders

2008 密码策略也改动的好多了

TechNet。。。估计国外的链接一直在变动的关系吧

http://technet.microsoft.com/zh-cn/default.aspx 中文
http://technet.microsoft.com/en-gb/default.aspx 英文
http://technet.microsoft.com/fr-fr/default.aspx 法文

资源不错，讲的比国内的详细，问问，左上方的选项是不是微软有中文语言的页面看。这个是微软总站么，不是微软中国的吧

[ 本帖最后由 Anders 于 2007-7-16 09:37 编辑 ]

ghjconan

原帖由 Anders 于 2007-7-16 09:34 发表
http://technet.microsoft.com/zh-cn/default.aspx

左上方的选项是不是微软有中文语言的页面看。

中文technet还没有大规模翻译吧，连2008的专题页面都没出来，估计要等到正式发布以后了……而且technet的页面不像support那里还可以用机器翻译……而且英文原文也是不断有变化，看某几篇就知道是最近才更新的

呃，原始英文原文的链接已经添加了……其它几篇也会陆续添加的

[ 本帖最后由 ghjconan 于 2007-7-16 09:45 编辑 ]

ghjconan

原帖由 Anders 于 2007-7-16 09:34 发表
2008 密码策略也改动的好多了

TechNet。。。估计国外的链接一直在变动的关系吧

http://technet.microsoft.com/zh-cn/default.aspx 中文
http://technet.microsoft.com/en-gb/default.aspx 英文
http:// ...

比如这篇文档是讲Windows Server 2008 技术概述但是归档是在Vista下面
http://www.microsoft.com/china/t ... itepaper.mspx#EYGAC

而且目前中文technet的大部分资源链接都包含 http://www.microsoft.com/china/technet/ 还没有和新的整合

不过话说回来我翻译的这些东西technet迟早会出现的，现在翻译只是给大家尝鲜而已……

Anders

恩，2008是还没有出。。

我意思是说我发的那几个地址是微软总站，不是指2008 。。。我点了他就链接到微软中国主页去了。。点英文的也一样

所以问这个是微软总站么，不是微软中国的吧，怎么点了跳转到中文去了

[ 本帖最后由 Anders 于 2007-7-16 10:03 编辑 ]