Configure políticas de contraseña precisas y políticas de bloqueo de cuenta en Windows Server 2008

  
        

En el dominio de Active Directory de Windows 2000 y Windows 2003, solo podemos aplicar una política de contraseña y bloqueo de cuenta para todos los usuarios en la Política de dominio predeterminada, si necesitamos crear contraseñas y cuentas diferentes para algunos usuarios especiales. Al bloquear la política, solo podemos usar el método para crear un nuevo dominio, ya que el dominio anterior solo puede usar una contraseña y una política de bloqueo de cuenta.

Windows Server 2008 ADDS tiene una nueva función llamada Precision Password Policy que le permite definir múltiples políticas de contraseña en un dominio y aplicarlas a usuarios o grupos de seguridad global. No utilizado en la OU, para usar esta función, necesitamos usar el editor ADSIEdit para crear objetos de configuración de contraseña (PSO) para el dominio, lo siguiente describe la operación específica:

Primero abra el editor ADSIEdit en 08DC, Ubique la ubicación como se muestra a continuación:

En el " CN = Contenedor de configuración de contraseña " nodo haga clic con el botón derecho para seleccionar Nuevo, seleccione la categoría " msDS-PasswordSettings " en la ventana emergente, como se muestra a continuación:

Ingrese un nombre para los nuevos objetos de Configuración de contraseña en la siguiente ventana, como se muestra a continuación:

Establezca un valor para la propiedad msDS-PasswordSettingsPrecedence en la ventana emergente, que es la configuración de prioridad si el dominio Hay varias políticas de contraseña directamente vinculadas al usuario, y se aplicará la política con el valor de prioridad más bajo, como se muestra en la siguiente figura:

En la ventana emergente, msDS-PasswordReversibleEncryptionEnabled Establezca un valor booleano, puede establecer FALSO /VERDADERO, el atributo corresponde a "Guardar contraseña con cifrado reversible" en la política de grupo, establecer, después de configurar FALSO, haga clic en "Siguiente" y ", como se muestra a continuación Mostrar:

En la ventana emergente, establezca un valor para el atributo msDS-PasswordHistoryLength, que corresponde a la configuración "Forzar historial de contraseñas" en la Política de grupo. El valor disponible varía de 0 a 1024. Haga clic en "Siguiente", como se muestra a continuación:

En la ventana emergente, establezca un valor booleano para la propiedad msDS-PasswordComplexityEnabled, puede establecer FALSO /VERDADERO, el atributo corresponde en la política de grupo "La contraseña debe Cumpla los requisitos de complejidad y la configuración de " habilite aquí, haga clic en " next ", como se muestra a continuación:

En la ventana emergente, establezca un valor para la propiedad msDS-MinimumPasswordLength, el rango de valores disponibles Para el 0-255, el atributo corresponde a la configuración "Longitud mínima de la contraseña" en la política de grupo. Haga clic en el cuadro de entrada y haga clic en "Siguiente", como se muestra a continuación:

Pop up Establezca un valor para el atributo msDS-MinimumPasswordAge en el puerto. El atributo corresponde al período mínimo de uso de la contraseña en la política de grupo. El formato de hora es " 00: 00: 00: 00 ", establecido en 1 día, 1: 00:00:00, después de la configuración, haga clic en " Siguiente ", como se muestra a continuación:

En la ventana emergente, establezca un valor para el atributo msDS-MaximumPasswordAge, que corresponde a la política del grupo. El período máximo de uso de la contraseña es " el formato de hora es el mismo que el de arriba. Después de la configuración, haga clic en " Next ", como se muestra a continuación:

Establezca un valor para la propiedad msDS-LockoutThreshold en la ventana emergente. En la Política de grupo, el umbral de bloqueo de cuenta correspondiente se establece en 0-65535. Después de la configuración, haga clic en " Siguiente ", como se muestra a continuación:

En la ventana emergente, msDS-LockoutObservationWindow El atributo establece un valor de tiempo en el mismo formato que el formato de tiempo establecido anteriormente. Este atributo corresponde a la configuración "Restablecer contador de bloqueo de cuenta" en la política de grupo. Establézcalo aquí en 30 minutos, haga clic en "" Siguiente" después de la configuración. Como se muestra en la siguiente figura:

En la ventana emergente, establezca un valor de tiempo para el atributo msDS-LockoutDuration, el formato es el mismo que el anterior, el atributo corresponde a la configuración "Tiempo de bloqueo de cuenta" en la política de grupo, haga clic en "Establecer" y "ld". A continuación, ", como se muestra a continuación:

Haga clic en "Eliminar" en la ventana de finalización, como se muestra a continuación:

En este punto, una contraseña personalizada y una estrategia de bloqueo de cuenta Ya creado, ¿cómo aplicarlo en algunas cuentas? También debemos realizar los siguientes pasos simples ...

En el ADSIEdit devuelto después de la operación anterior, haga doble clic en el objeto de Configuración de contraseña creado y encuentre el atributo msDS-PSOAppliesTo en la ventana emergente de edición de propiedades. Haga clic en "Editar", como se muestra a continuación:

En la ventana emergente, seleccione el objeto de destino al que se aplican estos objetos de Configuración de contraseña. Seleccione el grupo de seguridad global de prueba que se ha creado de antemano y seleccione el único completado. Haga clic en "Aceptar", como se muestra a continuación:

En este paso, la política se aplicó al grupo seleccionado anterior, siempre que pertenezca a los miembros del grupo de prueba, se aplicará la contraseña creada anteriormente. Y la estrategia de bloqueo de cuenta, a continuación para probar los resultados, abrir ADUC, primero probar a un usuario que no pertenece al grupo de prueba, hacer clic derecho en la cuenta de usuario1, seleccionar restablecer contraseña, ingresar 123 y hacer clic en Aceptar, como se muestra a continuación:

Copyright © Conocimiento de Windows All Rights Reserved