修改用户的密码策略
项目描述
EDU公司已经使用域环境一段时间了,但是许多员工反映使用复杂密码非常的麻烦,这样一来给员工工作带来一定的麻烦,为此公司重新制定了一套密码策略方案,方案如下:
(1)取消复杂密码限定。
(2)密码长度不能低于6位。
(3)密码使用期限无限制。
(4)员工5次输入密码错误,将锁定账户30分钟。
相关知识
1. 关于计算机操作系统的密码
要使用Windows操作系统,必须输入有效的用户账号和密码,在系统验证无误后才可以使用,并且默认情况下可以访问和使用大部分资源。由此可见,用户账户对操作系统来说是非常重要的。而如果是域用户账户,则显得更为重要,因为通过它可以访问域中的大部分计算机和资源。因此要保证网络中的数据安全,首先要确保网络中的账户安全。
针对客户机,域管理员通常会对客户机的账户做如下处理:
(1)只保留必须的账号,删除或禁用不使用的账户。
(2)重命名敏感用户账户,如Administrator、Guest以及其他一些在安装软件或服务时(如IIS和终端服务)自动建立的账号。
(3)对于用户账户仅配置能满足他们完成工作的最小权限。
(4)实施严格的密码策略,阻止对密码的暴力攻击。
针对域的用户密码,域管理员通常会做如下处理:
(1)禁止使用空密码。空密码在给用户带来方便的同时,也给那些恶意用户带来了便捷。
(2)禁止使用与用户登录名相同及用户登录名的简化密码。各种密码破译首先都是以用户登录名及其变化进行密码猜测,因此这类密码被破译的概率非常高。
(3)禁止使用与用户相关的个人信息作为密码。有很多用户习惯用生日、电话号码等个人信息做密码,由于用户的个人信息很容易被其他人知道,如果一个与用户非常熟悉的人来猜测用户的密码时,这些是他首先会想到的。
(4)禁止使用英文单词作为密码。各种密码破译软件中都有一个密码字典,如果系统允许别人任意次的猜测密码时,这类密码也是非常容易被破译的。
(5)建议使用复杂性的密码,密码长度不少于8位,并定期更改密码。一个足够强壮的密码至少应该是复杂的密码,复杂的密码至少要包括大小写字母、数字、特殊字符,并且是无意义的组合和超过8位长度,如1qez@WYX。
2. 活动目录用户账户的密码策略
在活动目录中,默认情况下,一个域只能使用一套密码策略,这套密码策略由【Default Domain Policy】进行统一管理。
如果一些企业需要针对不同群体设置不同的密码策略,则需要启用多元化密码策略(要求Windows Server 2008 R2以上域功能级别)。关于多元化密码策略的部署将在后续项目中进行介绍。
项目分析
针对本项目中公司提出的密码策略需求,域管理员可以通过修改【Default Domain Policy】的用户密码策略进行对应的配置即可。
项目操作
1. 域安全策略的密码策略修改
(1)在【服务器管理器】主窗口下,单击【组策略管理】,在弹出的【组策略管理】窗口中右键单击【Default Domain Policy】,在弹出的快捷菜单中选择【编辑】进行域默认组策略修改
(2)在弹出的【组策略管理编辑器】中依次展开【策略】→【Windows设置】→【安全设置】→【账户策略】→【密码策略】,此时右侧就可以看到密码策略的修改项了
(3)双击【密码必须符合复杂性要求】,在弹出的对话框中单击【说明】选项卡,从中可以看到该策略的详细说明
(4)将【密码必须符合复杂性要求】设置为【已禁用】,【密码长度最小值】设置为【6个字符】,取消【密码最长使用期限】设置
(6)活动目录的组策略一般要定期更新,如果想刚刚设置的策略马上生效,可以用gpupdate /force命令执行立刻更新组策略,打开命令行界面,输入该命令,执行刷新组策略操作
gpupdate /force
项目验证
(1)修改完成之后,用户设置密码时不得小于6位,无密码复杂性要求,密码可随时修改,如果用户连续输入5次错误密码,该账户将锁定30分钟。
(2)在【服务器管理器】主窗口下,单击【Active Directory用户和计算机】为“user02”重置密码,设置密码为“12345”,系统提示修改失败
(2)在【服务器管理器】主窗口下,单击【Active Directory用户和计算机】为“user02”重置密码,设置密码为“123456”,系统提示修改成功
(3)win10-01上当用户连续5次输入密码错误时,该账户被锁定
注:参考《Windows Server 2012 活动目录项目式教程》