Windows Server 2008細粒度口令策略無疑提高了域用戶口令的靈活性。可以實現(xiàn)根據(jù)用戶的級別來定義不同的口令策略。

    一、 細粒度口令策略的實現(xiàn)前提

　　不過細粒度口令策略畢竟是Windows Server 2008服務(wù)器的功能，為此在使用起來有一定的限制條件。具體的來說，要在Windows Server 2008環(huán)境下實現(xiàn)細粒度口令策略，要遵循如下幾個限制：

    1、如果管理員需要實現(xiàn)精細粒度的口令策略，則必須要將域中的所有域控制器升級到2008并將整個域都處于2008的功能模式下。雖然在以前的版本中，可以在森林域控制器上通過第三方口令更改實用程序來模擬實現(xiàn)這一功能，但是畢竟不是Windows環(huán)境下的功能。總之，要實現(xiàn)細粒度口令策略，必須要將整個域設(shè)置為2008級別。也就是說，域中所有的DC必須運行在2008的操作系統(tǒng)環(huán)境。注意這里只是強調(diào)所有的域控制器，包括輔助控制器，需要運行2008以上版本的操作系統(tǒng)。而客戶端的話，沒有這方面的強制要求?？蛻舳丝梢赃\行諸如XP等版本的操作系統(tǒng)。

    2、如果在域環(huán)境中啟用了細粒度口令策略，那么如果與其他口令策略發(fā)生沖突的時候，需要注意一個優(yōu)先性的問題。也就是說需要注意哪一個口令策略會被覆蓋，哪一個口令策略會生效。通常情況下，精細粒度口令策略要比域口令策略的優(yōu)先性高。也就是說，如果他們兩者發(fā)生沖突的話，那么域控制器將會采用精細粒度口令策略，而會忽視域口令策略。其次應(yīng)用于用戶的精細粒度口令策略總是優(yōu)先于應(yīng)用于組的口令策略設(shè)置。也就是說，無論什么情況下，精細粒度口令策略往往具有比較高的優(yōu)先性。了解這個基本原則，對于后續(xù)口令策略的規(guī)劃、口令安全性設(shè)計等工作具有非常重大的意義。

    3、了解精細口令策略在繼承上的限制。如果在組的級別上或者用戶級別上設(shè)置普通用戶口令策略的話，可以為同一個用戶設(shè)置多個口令力策略。其最終采用的口令策略通常情況下是比較復(fù)雜的一個策略。不過如果為用戶設(shè)置細粒度口令策略的話，則與此不同。一般情況下，只允許系統(tǒng)管理員向一個用戶施加一組口令策略。如果向同一個用戶設(shè)置多個口令策略，一般也不會出錯。只是其最終生效的，是具有比較低數(shù)字優(yōu)先級的策略。注意，這又涉及到了另一個優(yōu)先級問題。為了避免后續(xù)維護的麻煩，筆者建議***只為一個用戶設(shè)置一個密碼策略。如果設(shè)置多個的話，***系統(tǒng)管理員都會頭疼。特別是普通口令策略、域口令策略與組口令策略、細粒度口令策略不要同時應(yīng)用在一個用戶上，那會增加口令策略的復(fù)雜性。想想看，如果同時在一個用戶上應(yīng)用這些口令策略，那么判斷其最終生效的是哪一個口令策略，就需要花費管理員不少的經(jīng)歷。為了簡化起見，雖然口令策略系統(tǒng)會采用不同的優(yōu)先級來避免沖突，但是筆者還是建議同一個用戶***只采用一種口令力策略。

    二、 細粒度口令策略的具體配置。

    在2008環(huán)境下，口令設(shè)置對象一般存儲在域控制器的口令設(shè)置容器中。通常情況下，為了為特定的用戶創(chuàng)建特定的口令策略，需要通過一個特殊的工具，即ADSIEdit來實現(xiàn)。部署過域控制器的系統(tǒng)管理員一定知道，這是一款非常強大的低級目錄編輯器。其不僅可以實現(xiàn)細粒度口令策略，為域中的用戶實現(xiàn)不同的口令策略;而且還可以實現(xiàn)其他很多的功能。不過需要注意的是，這個工具是一個低級目錄編輯器，如果使用的不小心的話，會帶來災(zāi)難性的損失。通常情況下，如果使用這個工具進行比較大的更改時，都建議先對域控制器的相關(guān)配置進行備份，以備不時之需。

   1、 利用向?qū)磉M行配置。

    在2008版本中，ADSIEdit工具專門提供了一個向?qū)?，來為特定的用戶設(shè)置特定的口令策略。通過這個向?qū)Чぞ撸梢栽?008域控制器中自動創(chuàng)建口令策略并運行在口令策略上設(shè)置與細粒度口令策略相關(guān)的大部分屬性。通常情況下，為了避免不必要的麻煩，筆者強烈建議通過向?qū)韯?chuàng)建細粒度口令策略。在使用向?qū)韯?chuàng)建細粒度口令策略時，以下幾個參數(shù)要引起特別的關(guān)注。

    一是msDS-Password。筆者在談到細粒度口令策略的限制條件時談到過，如果在同一個用戶上設(shè)置多個細粒度口令策略的話，那么具有比較低數(shù)字優(yōu)先級的策略將被啟用。這個數(shù)字就是在這個參數(shù)中定義。這里設(shè)置的數(shù)字越小，其優(yōu)先性越高。為了提高口令力策略的靈活性，筆者建議存在多個口令策略的情況下，可以在數(shù)字的兩邊留出空格一重新排序優(yōu)先級。或者說，以10位單位設(shè)置這個參數(shù)。然后后續(xù)需要調(diào)整的話，只要個別調(diào)整數(shù)字，如將20調(diào)整為31。如此，就可以只通過調(diào)整一個口令策略從而實現(xiàn)優(yōu)先級的調(diào)整。這相當(dāng)于不少信息化管理系統(tǒng)，其項目的行號都是以10位單位進行遞增一樣，其目的都是為了后續(xù)用戶能夠根據(jù)需要對記錄記錄進行排序。

    二是msDS-PasswordComplexity。通常情況下我們之所以要采用細粒度口令策略，往往是為了提高用戶口令策略的靈活性。特別是為了實現(xiàn)對服務(wù)器用戶與普通用戶實現(xiàn)不同道口令策略。如對服務(wù)器用戶的口令要求進行復(fù)雜性的認證。而這個參數(shù)就是為實現(xiàn)這個目的而設(shè)的。顧名思義，這個參數(shù)就是用來控制是否需要啟用口令復(fù)雜性的策略。如果起用的話，則這個策略會強制要求用戶的口令包含數(shù)字、大寫字母、小寫字母和特殊字符的組合作為其口令的一部分。一般情況下，只要啟用了這個策略，那么就要求用戶所設(shè)置的口令中必須要包含三種以上的字符。不過對于普通用戶來說，這么高的安全策略有點大材小用。為此一般只針對服務(wù)器的帳戶才啟用這個口令復(fù)雜性策略。

    三是msDS-MinimunPasswordAge參數(shù)。這個口令會控制將口令重新設(shè)置為不同口令必須等待的最少天數(shù)。這個參數(shù)跟上面的參數(shù)作用類似，也是為了提高密碼的安全性所涉及的。設(shè)置這個參數(shù)的目的就是不允許用戶簡單的通過輪轉(zhuǎn)口令變化的方式來保持相同的口令。某人情況下這個參數(shù)的值是3。也就是說，在三天之內(nèi)不運行采用相同的口令。

    其他的參數(shù)跟普通口令策略類似，這里就不做過多的參數(shù)了。在這眾多的參數(shù)中，系統(tǒng)管理員特別需要注意的還是***個參數(shù)，即跟口令策略優(yōu)先級相關(guān)的數(shù)字。在設(shè)置這個參數(shù)的時候，一定要為后續(xù)的口令策略留有余地，要能夠方便后續(xù)優(yōu)先性的調(diào)整。

    2、 手工更改或者創(chuàng)建細粒度口令策略。

    除了使用向?qū)е猓蚬芾韱T還可以通過手工來創(chuàng)建口令策略，或者說對已有的口令力策略進行修改。雖然說筆者不建議這么做，但是系統(tǒng)畢竟還提高了這一個功能。

    如果需要手工更改或者創(chuàng)建口令策略的話，則可以在管理工具菜單中打開ADSIEdit工具。打開這個工具后，可以選擇創(chuàng)建或者修改，來維護特定的口令策略。在維護的時候，這里可以調(diào)整利用向?qū)?chuàng)建過程中的任何一個參數(shù)，包括優(yōu)先性、口令復(fù)雜性策略等等。如果采用手工創(chuàng)建口令策略，需要注意為這個口令策略取名字的時候，要保證其名字的唯一。否則的話，系統(tǒng)會報錯。

【相關(guān)文章】

• 服務(wù)器虛擬化平臺:VMWare ESX 3.5安裝圖記

• Windows Server 2008測試：更快、更安全，唯缺虛擬化

• Windows Server 2008虛擬化功能解析