密码策略
适用对象:Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
本安全策略参考主题面向 IT 专业人员的 Windows 并链接到每个策略设置的信息提供的密码策略的概述。
在许多操作系统进行身份验证用户身份的最常用方法是使用机密的密码。 安全的网络环境要求所有用户使用具有至少为八个字符,并且包含字母、 数字和符号的组合的强密码。 这些密码有助于防止遭到破坏的用户帐户和管理帐户的未经授权的用户都使用手动方法或自动化的工具来猜测弱密码。 定期更改的强密码会减少密码攻击成功的可能性。
中引入 Windows Server 2008 R2 和 Windows Server 2008, ,Windows 支持严格的密码策略。 此功能提供了一种方法来在域中定义不同的密码和帐户锁定策略的不同组的用户的组织。 在 Windows 2000 Server 和 Windows Server 2003 Active Directory 域中,只能有一个密码策略和帐户锁定策略无法应用于域中的所有用户。 严格的密码策略仅适用于用户对象 (或 inetOrgPerson 对象而不是用户对象使用) 和全局安全组。
若要对一个 OU 的用户应用细化密码策略,可以使用卷影组。 卷影组是在逻辑上映射到 OU 以强制实施严格的密码策略的全局安全组。 将 OU 的用户添加为新创建的卷影组的成员,然后将严格的密码策略应用到此卷影组。 可以为其他 Ou,根据需要创建其他卷影组。 如果将用户从一个 OU 移动到另一个中时,您必须更新相应的卷影组的成员身份。
严格的密码策略包括帐户锁定设置除了可以在默认域策略 (Kerberos 设置除外) 中定义的所有设置的属性。 当您指定细化密码策略时,必须指定所有这些设置。 默认情况下,只有 Domain Admins 组的成员可以设置细化密码策略。 然而,也可以将设置这些策略的能力委派给其他用户。 必须至少运行的域 Windows Server 2008 R2 或 Windows Server 2008 若要使用细化密码策略。 严格的密码策略不能直接应用到的组织单位 (OU)。
严格的密码策略不会干扰可能位于同一域中使用的自定义密码筛选器。 已部署到运行 Windows 2000 Server 或 Windows Server 2003 的域控制器的自定义密码筛选器的组织可以继续使用这些密码筛选器来强制实施其他密码限制。 有关细化密码策略的详细信息,请参阅 AD DS︰ 细化密码策略。
您可以强制使用强密码通过合适的密码策略。 有密码策略设置控制的复杂性和生存期的密码,如 密码必须符合复杂性要求 策略设置。
通过在域控制器上使用组策略管理控制台,可以在以下位置配置的密码策略设置︰
计算机配置 \windows 设置 \ 安全设置策略 \ 策略 \ 密码密码策略
如果各个组需要不同的密码策略,这些组应被分离到其他域或林,根据其他要求。
有关设置安全策略的信息,请参阅 如何配置安全策略设置。
以下主题提供的密码策略实施和最佳做法注意事项、 策略位置、 默认值为服务器类型的 GPO,相关差异操作系统版本、 安全注意事项 (包括每个设置的可能的漏洞)、 可以执行,并可能会影响每个设置的对策的讨论。