Windows Server 2008下細粒度口令策略的實現
一、 細粒度口令策略的實現前提
不過細粒度口令策略畢竟是Windows Server 2008服務器的功能,為此在使用起來有一定的限制條件。具體的來說,要在Windows Server 2008環境下實現細粒度口令策略,要遵循如下幾個限制:
1、如果管理員需要實現精細粒度的口令策略,則必須要將域中的所有域控制器升級到2008并將整個域都處于2008的功能模式下。雖然在以前的版本中,可以在森林域控制器上通過第三方口令更改實用程序來模擬實現這一功能,但是畢竟不是Windows環境下的功能。總之,要實現細粒度口令策略,必須要將整個域設置為2008級別。也就是說,域中所有的DC必須運行在2008的操作系統環境。注意這里只是強調所有的域控制器,包括輔助控制器,需要運行2008以上版本的操作系統。而客戶端的話,沒有這方面的強制要求。客戶端可以運行諸如XP等版本的操作系統。
2、如果在域環境中啟用了細粒度口令策略,那么如果與其他口令策略發生沖突的時候,需要注意一個優先性的問題。也就是說需要注意哪一個口令策略會被覆蓋,哪一個口令策略會生效。通常情況下,精細粒度口令策略要比域口令策略的優先性高。也就是說,如果他們兩者發生沖突的話,那么域控制器將會采用精細粒度口令策略,而會忽視域口令策略。其次應用于用戶的精細粒度口令策略總是優先于應用于組的口令策略設置。也就是說,無論什么情況下,精細粒度口令策略往往具有比較高的優先性。了解這個基本原則,對于后續口令策略的規劃、口令安全性設計等工作具有非常重大的意義。
3、了解精細口令策略在繼承上的限制。如果在組的級別上或者用戶級別上設置普通用戶口令策略的話,可以為同一個用戶設置多個口令力策略。其最終采用的口令策略通常情況下是比較復雜的一個策略。不過如果為用戶設置細粒度口令策略的話,則與此不同。一般情況下,只允許系統管理員向一個用戶施加一組口令策略。如果向同一個用戶設置多個口令策略,一般也不會出錯。只是其最終生效的,是具有比較低數字優先級的策略。注意,這又涉及到了另一個優先級問題。為了避免后續維護的麻煩,筆者建議***只為一個用戶設置一個密碼策略。如果設置多個的話,***系統管理員都會頭疼。特別是普通口令策略、域口令策略與組口令策略、細粒度口令策略不要同時應用在一個用戶上,那會增加口令策略的復雜性。想想看,如果同時在一個用戶上應用這些口令策略,那么判斷其最終生效的是哪一個口令策略,就需要花費管理員不少的經歷。為了簡化起見,雖然口令策略系統會采用不同的優先級來避免沖突,但是筆者還是建議同一個用戶***只采用一種口令力策略。
二、 細粒度口令策略的具體配置。
在2008環境下,口令設置對象一般存儲在域控制器的口令設置容器中。通常情況下,為了為特定的用戶創建特定的口令策略,需要通過一個特殊的工具,即ADSIEdit來實現。部署過域控制器的系統管理員一定知道,這是一款非常強大的低級目錄編輯器。其不僅可以實現細粒度口令策略,為域中的用戶實現不同的口令策略;而且還可以實現其他很多的功能。不過需要注意的是,這個工具是一個低級目錄編輯器,如果使用的不小心的話,會帶來災難性的損失。通常情況下,如果使用這個工具進行比較大的更改時,都建議先對域控制器的相關配置進行備份,以備不時之需。
1、 利用向導來進行配置。
在2008版本中,ADSIEdit工具專門提供了一個向導,來為特定的用戶設置特定的口令策略。通過這個向導工具,可以在2008域控制器中自動創建口令策略并運行在口令策略上設置與細粒度口令策略相關的大部分屬性。通常情況下,為了避免不必要的麻煩,筆者強烈建議通過向導來創建細粒度口令策略。在使用向導來創建細粒度口令策略時,以下幾個參數要引起特別的關注。
一是msDS-Password。筆者在談到細粒度口令策略的限制條件時談到過,如果在同一個用戶上設置多個細粒度口令策略的話,那么具有比較低數字優先級的策略將被啟用。這個數字就是在這個參數中定義。這里設置的數字越小,其優先性越高。為了提高口令力策略的靈活性,筆者建議存在多個口令策略的情況下,可以在數字的兩邊留出空格一重新排序優先級。或者說,以10位單位設置這個參數。然后后續需要調整的話,只要個別調整數字,如將20調整為31。如此,就可以只通過調整一個口令策略從而實現優先級的調整。這相當于不少信息化管理系統,其項目的行號都是以10位單位進行遞增一樣,其目的都是為了后續用戶能夠根據需要對記錄記錄進行排序。
二是msDS-PasswordComplexity。通常情況下我們之所以要采用細粒度口令策略,往往是為了提高用戶口令策略的靈活性。特別是為了實現對服務器用戶與普通用戶實現不同道口令策略。如對服務器用戶的口令要求進行復雜性的認證。而這個參數就是為實現這個目的而設的。顧名思義,這個參數就是用來控制是否需要啟用口令復雜性的策略。如果起用的話,則這個策略會強制要求用戶的口令包含數字、大寫字母、小寫字母和特殊字符的組合作為其口令的一部分。一般情況下,只要啟用了這個策略,那么就要求用戶所設置的口令中必須要包含三種以上的字符。不過對于普通用戶來說,這么高的安全策略有點大材小用。為此一般只針對服務器的帳戶才啟用這個口令復雜性策略。
三是msDS-MinimunPasswordAge參數。這個口令會控制將口令重新設置為不同口令必須等待的最少天數。這個參數跟上面的參數作用類似,也是為了提高密碼的安全性所涉及的。設置這個參數的目的就是不允許用戶簡單的通過輪轉口令變化的方式來保持相同的口令。某人情況下這個參數的值是3。也就是說,在三天之內不運行采用相同的口令。
其他的參數跟普通口令策略類似,這里就不做過多的參數了。在這眾多的參數中,系統管理員特別需要注意的還是***個參數,即跟口令策略優先級相關的數字。在設置這個參數的時候,一定要為后續的口令策略留有余地,要能夠方便后續優先性的調整。
2、 手工更改或者創建細粒度口令策略。
除了使用向導之外,域管理員還可以通過手工來創建口令策略,或者說對已有的口令力策略進行修改。雖然說筆者不建議這么做,但是系統畢竟還提高了這一個功能。
如果需要手工更改或者創建口令策略的話,則可以在管理工具菜單中打開ADSIEdit工具。打開這個工具后,可以選擇創建或者修改,來維護特定的口令策略。在維護的時候,這里可以調整利用向導創建過程中的任何一個參數,包括優先性、口令復雜性策略等等。如果采用手工創建口令策略,需要注意為這個口令策略取名字的時候,要保證其名字的唯一。否則的話,系統會報錯。
【相關文章】
