上一篇忘记提醒了,在企业里,我们根据需求进行部署组策略的时候,是严禁使用默认域策略的,这一点一定要慎重,有什么需求,可以新建一条策略进行链接到需要的位置,这样在组策略部署有困难的时候可以快速的定位故障点,如果策略都使用默认策略,可想而知,遇到故障的时候你无从下手!
在AD这个平台上,我们要想使用资源,那么我们就必须先拥有一个通行证,对,就是账号了,账号对于一个域来说,是一个很重要的一把钥匙,拥有了他你就如拥有了法宝,可以在一定的规则里通行无阻,所以,我们有必要保护好我们的钥匙:
账户密码策略
密码策略:
1,在组策略中可以对账户的密码安全性进行设置,打开组策略,定位到如图
2,这里可以看到丰富的密码安全策略条目。通常,为了保证用户密码的安全性,请启用密码必须符合复杂性要求:
a,密码长度最小值:一般是6个以上,这是必须的
b, 密码最短使用期限:一般我们设置为0,也就是说随时都可以更改,有些同学设置为了1,不了解情况,在用户进行更改的密码的时候无法更改,设置为1,也就是说这个密码最少要使用24小时,不然是不允许更改的!当我们为一个新用户设置了账号和密码后,为了避免责任我们一般会要求用户立马更改,所以有必要设置为0
c,密码最长使用期限:这个可以根据公司的安全考虑,一般一个月改一次,当然了,你也可以要求7天,根据自身的情况安排
d,强制密码历史:这里说的是DC可以记住多少个历史密码,比如说,用户使用密码为123,到这个密码到期后需要更改密码了,他改成了456,但觉得没有123方便好记,他在更改成456后又立马更改成了123,这个时候就没有达到我们的预期效果,这跟没改一个样,所以我们设置2个,当然也可以更多,不允许他使用前面的2个密码
账户密码锁定
1,为了防止依靠猜测密码恶意登录,可以使用账户锁定策略进行配置,设定尝试登录失败阀值,激活账户锁定,使得被恶意猜测登录的账户在一定时间内不可用。我们把策略定位到如图
2,我们来看下解释
a,账户锁定时间:就是说在用户输入错误密码达到阀值以后的锁定时间,可长可短,一般是30分钟,在企业里因为时间的关系,设置10分钟即可!
b.账户锁定阀值:就是说用户输入密码错误的次数,比如3次,5次,这个很好理解
c, 重置账户锁定计数器:也就是说在用户第一次输入密码错误后在多长时间里可以恢复从0计算!
对于账户策略,企业里一般就设置这些,在一些账户策略这块出现的问题最多的就是,为什么我在组策略里设置了30天更改密码,但到30时确没有要求用户更改呢?其实这个问题不细心的话很难找到答案。因为用户已经应用了这个策略,但就是没有生效,那是为什么呢?因为我们在新建立用户的时候,习惯的把用户的密码设置为了“永不过期”,如图,所以,有些时候我们要细心的工作!
还有一些常见的问题,比如,为什么我给用户新密码后,他在当天更改的时候没办法更改,其实这久是应用了“密码最短使用时间”的策略,所以我们一般建议企业里设置为0,免得担责任!
关于用户的密码策略也就这些,大家还有什么补充的可以留言哈!
IT之梦---你---我—他
Day Day Up
本文转自 IT之梦 51CTO博客,原文链接:http://blog.51cto.com/itmydream/782655