修改用户的密码策略

共 1884字,需浏览 4分钟

 ·

2021-07-31 03:18

项目描述


    EDU公司已经使用域环境一段时间了,但是许多员工反映使用复杂密码非常的麻烦,这样一来给员工工作带来一定的麻烦,为此公司重新制定了一套密码策略方案,方案如下:


(1)取消复杂密码限定。

(2)密码长度不能低于6位。

(3)密码使用期限无限制。

(4)员工5次输入密码错误,将锁定账户30分钟。


相关知识


1. 关于计算机操作系统的密码


    要使用Windows操作系统,必须输入有效的用户账号和密码,在系统验证无误后才可以使用,并且默认情况下可以访问和使用大部分资源。由此可见,用户账户对操作系统来说是非常重要的。而如果是域用户账户,则显得更为重要,因为通过它可以访问域中的大部分计算机和资源。因此要保证网络中的数据安全,首先要确保网络中的账户安全。


针对客户机,域管理员通常会对客户机的账户做如下处理:


(1)只保留必须的账号,删除或禁用不使用的账户。

(2)重命名敏感用户账户,如Administrator、Guest以及其他一些在安装软件或服务时(如IIS和终端服务)自动建立的账号。

(3)对于用户账户仅配置能满足他们完成工作的最小权限。

(4)实施严格的密码策略,阻止对密码的暴力攻击。


针对域的用户密码,域管理员通常会做如下处理:


(1)禁止使用空密码。空密码在给用户带来方便的同时,也给那些恶意用户带来了便捷。

(2)禁止使用与用户登录名相同及用户登录名的简化密码。各种密码破译首先都是以用户登录名及其变化进行密码猜测,因此这类密码被破译的概率非常高。

(3)禁止使用与用户相关的个人信息作为密码。有很多用户习惯用生日、电话号码等个人信息做密码,由于用户的个人信息很容易被其他人知道,如果一个与用户非常熟悉的人来猜测用户的密码时,这些是他首先会想到的。

(4)禁止使用英文单词作为密码。各种密码破译软件中都有一个密码字典,如果系统允许别人任意次的猜测密码时,这类密码也是非常容易被破译的。

(5)建议使用复杂性的密码,密码长度不少于8位,并定期更改密码。一个足够强壮的密码至少应该是复杂的密码,复杂的密码至少要包括大小写字母、数字、特殊字符,并且是无意义的组合和超过8位长度,如1qez@WYX。


2. 活动目录用户账户的密码策略


    在活动目录中,默认情况下,一个域只能使用一套密码策略,这套密码策略由【Default Domain Policy】进行统一管理。

如果一些企业需要针对不同群体设置不同的密码策略,则需要启用多元化密码策略(要求Windows Server 2008 R2以上域功能级别)。关于多元化密码策略的部署将在后续项目中进行介绍。


项目分析


针对本项目中公司提出的密码策略需求,域管理员可以通过修改【Default Domain Policy】的用户密码策略进行对应的配置即可。


项目操作


1. 域安全策略的密码策略修改


(1)在【服务器管理器】主窗口下,单击【组策略管理】,在弹出的【组策略管理】窗口中右键单击【Default Domain Policy】,在弹出的快捷菜单中选择【编辑】进行域默认组策略修改


1a40afacae3a284c87c92d6d71a7397f.webp


65dfa6a806aad27ec37921957d74089b.webp


(2)在弹出的【组策略管理编辑器】中依次展开【策略】→【Windows设置】→【安全设置】→【账户策略】→【密码策略】,此时右侧就可以看到密码策略的修改项了


b262776535f93ae7f5beaa92698f58f7.webp


(3)双击【密码必须符合复杂性要求】,在弹出的对话框中单击【说明】选项卡,从中可以看到该策略的详细说明


1923c80ec2a3cfa028ae616f15230834.webp


(4)将【密码必须符合复杂性要求】设置为【已禁用】,【密码长度最小值】设置为【6个字符】,取消【密码最长使用期限】设置


9463b0894fa4cff864f375dcd6693061.webp


a54e4cd1135d3b4ca584ed30b87d90f7.webp


(6)活动目录的组策略一般要定期更新,如果想刚刚设置的策略马上生效,可以用gpupdate /force命令执行立刻更新组策略,打开命令行界面,输入该命令,执行刷新组策略操作


gpupdate /force


8b16934b2db45c4111689a9af52a2b27.webp


项目验证


(1)修改完成之后,用户设置密码时不得小于6位,无密码复杂性要求,密码可随时修改,如果用户连续输入5次错误密码,该账户将锁定30分钟。


(2)在【服务器管理器】主窗口下,单击【Active Directory用户和计算机】为“user02”重置密码,设置密码为“12345”,系统提示修改失败


059443f8b5f5c077a8552336d6d5ee11.webp


0c46a496e5533044515387e51108d7a4.webp


73ad81c48092a305032d9d9d82e1a1ee.webp


(2)在【服务器管理器】主窗口下,单击【Active Directory用户和计算机】为“user02”重置密码,设置密码为“123456”,系统提示修改成功


a2faa3b4a355570b90a116720b8d5cfe.webp


96acbebc4db81c8ad35fb0593d4f4781.webp


(3)win10-01上当用户连续5次输入密码错误时,该账户被锁定


eeeb67cc1d25b12694eec65f5d8b6fff.webp


注:参考《Windows Server 2012 活动目录项目式教程》

浏览 162
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报