修改用戶的密碼策略

項(xiàng)目描述

??? EDU公司已經(jīng)使用域環(huán)境一段時(shí)間了，但是許多員工反映使用復(fù)雜密碼非常的麻煩，這樣一來(lái)給員工工作帶來(lái)一定的麻煩，為此公司重新制定了一套密碼策略方案，方案如下：

（1）取消復(fù)雜密碼限定。

（2）密碼長(zhǎng)度不能低于6位。

（3）密碼使用期限無(wú)限制。

（4）員工5次輸入密碼錯(cuò)誤，將鎖定賬戶30分鐘。

相關(guān)知識(shí)

1. 關(guān)于計(jì)算機(jī)操作系統(tǒng)的密碼

????要使用Windows操作系統(tǒng)，必須輸入有效的用戶賬號(hào)和密碼，在系統(tǒng)驗(yàn)證無(wú)誤后才可以使用，并且默認(rèn)情況下可以訪問(wèn)和使用大部分資源。由此可見(jiàn)，用戶賬戶對(duì)操作系統(tǒng)來(lái)說(shuō)是非常重要的。而如果是域用戶賬戶，則顯得更為重要，因?yàn)橥ㄟ^(guò)它可以訪問(wèn)域中的大部分計(jì)算機(jī)和資源。因此要保證網(wǎng)絡(luò)中的數(shù)據(jù)安全，首先要確保網(wǎng)絡(luò)中的賬戶安全。

針對(duì)客戶機(jī)，域管理員通常會(huì)對(duì)客戶機(jī)的賬戶做如下處理：

（1）只保留必須的賬號(hào)，刪除或禁用不使用的賬戶。

（2）重命名敏感用戶賬戶，如Administrator、Guest以及其他一些在安裝軟件或服務(wù)時(shí)（如IIS和終端服務(wù)）自動(dòng)建立的賬號(hào)。

（3）對(duì)于用戶賬戶僅配置能滿足他們完成工作的最小權(quán)限。

（4）實(shí)施嚴(yán)格的密碼策略，阻止對(duì)密碼的暴力攻擊。

針對(duì)域的用戶密碼，域管理員通常會(huì)做如下處理：

（1）禁止使用空密碼?？彰艽a在給用戶帶來(lái)方便的同時(shí)，也給那些惡意用戶帶來(lái)了便捷。

（2）禁止使用與用戶登錄名相同及用戶登錄名的簡(jiǎn)化密碼。各種密碼破譯首先都是以用戶登錄名及其變化進(jìn)行密碼猜測(cè)，因此這類密碼被破譯的概率非常高。

（3）禁止使用與用戶相關(guān)的個(gè)人信息作為密碼。有很多用戶習(xí)慣用生日、電話號(hào)碼等個(gè)人信息做密碼，由于用戶的個(gè)人信息很容易被其他人知道，如果一個(gè)與用戶非常熟悉的人來(lái)猜測(cè)用戶的密碼時(shí)，這些是他首先會(huì)想到的。

（4）禁止使用英文單詞作為密碼。各種密碼破譯軟件中都有一個(gè)密碼字典，如果系統(tǒng)允許別人任意次的猜測(cè)密碼時(shí)，這類密碼也是非常容易被破譯的。

（5）建議使用復(fù)雜性的密碼，密碼長(zhǎng)度不少于8位，并定期更改密碼。一個(gè)足夠強(qiáng)壯的密碼至少應(yīng)該是復(fù)雜的密碼，復(fù)雜的密碼至少要包括大小寫字母、數(shù)字、特殊字符，并且是無(wú)意義的組合和超過(guò)8位長(zhǎng)度，如1qez@WYX。

2. 活動(dòng)目錄用戶賬戶的密碼策略

????在活動(dòng)目錄中，默認(rèn)情況下，一個(gè)域只能使用一套密碼策略，這套密碼策略由【Default Domain Policy】進(jìn)行統(tǒng)一管理。

如果一些企業(yè)需要針對(duì)不同群體設(shè)置不同的密碼策略，則需要啟用多元化密碼策略（要求Windows Server 2008 R2以上域功能級(jí)別）。關(guān)于多元化密碼策略的部署將在后續(xù)項(xiàng)目中進(jìn)行介紹。

項(xiàng)目分析

針對(duì)本項(xiàng)目中公司提出的密碼策略需求，域管理員可以通過(guò)修改【Default Domain Policy】的用戶密碼策略進(jìn)行對(duì)應(yīng)的配置即可。

項(xiàng)目操作

1. 域安全策略的密碼策略修改

（1）在【服務(wù)器管理器】主窗口下，單擊【組策略管理】，在彈出的【組策略管理】窗口中右鍵單擊【Default Domain Policy】，在彈出的快捷菜單中選擇【編輯】進(jìn)行域默認(rèn)組策略修改

（2）在彈出的【組策略管理編輯器】中依次展開(kāi)【策略】→【W(wǎng)indows設(shè)置】→【安全設(shè)置】→【賬戶策略】→【密碼策略】，此時(shí)右側(cè)就可以看到密碼策略的修改項(xiàng)了

（3）雙擊【密碼必須符合復(fù)雜性要求】，在彈出的對(duì)話框中單擊【說(shuō)明】選項(xiàng)卡，從中可以看到該策略的詳細(xì)說(shuō)明

（4）將【密碼必須符合復(fù)雜性要求】設(shè)置為【已禁用】，【密碼長(zhǎng)度最小值】設(shè)置為【6個(gè)字符】，取消【密碼最長(zhǎng)使用期限】設(shè)置

（6）活動(dòng)目錄的組策略一般要定期更新，如果想剛剛設(shè)置的策略馬上生效，可以用gpupdate /force命令執(zhí)行立刻更新組策略，打開(kāi)命令行界面，輸入該命令，執(zhí)行刷新組策略操作

gpupdate /force

項(xiàng)目驗(yàn)證

（1）修改完成之后，用戶設(shè)置密碼時(shí)不得小于6位，無(wú)密碼復(fù)雜性要求，密碼可隨時(shí)修改，如果用戶連續(xù)輸入5次錯(cuò)誤密碼，該賬戶將鎖定30分鐘。

（2）在【服務(wù)器管理器】主窗口下，單擊【Active Directory用戶和計(jì)算機(jī)】為“user02”重置密碼，設(shè)置密碼為“12345”，系統(tǒng)提示修改失敗

（2）在【服務(wù)器管理器】主窗口下，單擊【Active Directory用戶和計(jì)算機(jī)】為“user02”重置密碼，設(shè)置密碼為“123456”，系統(tǒng)提示修改成功

（3）win10-01上當(dāng)用戶連續(xù)5次輸入密碼錯(cuò)誤時(shí)，該賬戶被鎖定

注：參考《Windows Server 2012 活動(dòng)目錄項(xiàng)目式教程》