組政策之賬戶安全設定

上一篇忘記提醒了，在企業裡，我們根據需求進行部署組政策的時候，是嚴禁使用預設域政策的，這一點一定要慎重，有什麼需求，可以建立一條政策進行連結到需要的位置，這樣在組政策部署有困難的時候可以快速的定位故障點，如果政策都使用預設政策，可想而知，遇到故障的時候你無從下手！

在AD這個平台上，我們要想使用資源，那麼我們就必須先擁有一個通行證，對，就是賬号了，賬号對于一個域來說，是一個很重要的一把鑰匙，擁有了他你就如擁有了法寶，可以在一定的規則裡通行無阻，是以，我們有必要保護好我們的鑰匙：

賬戶密碼政策

密碼政策：

1，在組政策中可以對賬戶的密碼安全性進行設定，打開組政策，定位到如圖

<a href="http://itmydream.blog.51cto.com/attachment/201202/18/961933_1329540997HjPt.jpg"></a>

2，這裡可以看到豐富的密碼安全政策條目。通常，為了保證使用者密碼的安全性，請啟用密碼必須符合複雜性要求：

   a,密碼長度最小值：一般是6個以上，這是必須的

   b, 密碼最短使用期限：一般我們設定為0，也就是說随時都可以更改，有些同學設定為了1，不了解情況，在使用者進行更改的密碼的時候無法更改，設定為1，也就是說這個密碼最少要使用24小時，不然是不允許更改的！當我們為一個新使用者設定了賬号和密碼後，為了避免責任我們一般會要求使用者立馬更改，是以有必要設定為0

   c,密碼最長使用期限：這個可以根據公司的安全考慮，一般一個月改一次，當然了，你也可以要求7天，根據自身的情況安排

   d,強制密碼曆史：這裡說的是DC可以記住多少個曆史密碼，比如說，使用者使用密碼為123,到這個密碼到期後需要更改密碼了，他改成了456，但覺得沒有123友善好記，他在更改成456後又立馬更改成了123，這個時候就沒有達到我們的預期效果，這跟沒改一個樣，是以我們設定2個，當然也可以更多，不允許他使用前面的2個密碼

賬戶密碼鎖定

1，為了防止依靠猜測密碼惡意登入，可以使用賬戶鎖定政策進行配置，設定嘗試登入失敗閥值，激活賬戶鎖定，使得被惡意猜測登入的賬戶在一定時間内不可用。我們把政策定位到如圖

<a href="http://itmydream.blog.51cto.com/attachment/201202/18/961933_1329540998TPYR.jpg"></a>

2，我們來看下解釋

a,賬戶鎖定時間：就是說在使用者輸入錯誤密碼達到閥值以後的鎖定時間，可長可短，一般是30分鐘，在企業裡因為時間的關系，設定10分鐘即可！

b.賬戶鎖定閥值：就是說使用者輸入密碼錯誤的次數，比如3次，5次，這個很好了解

c, 重置賬戶鎖定計數器：也就是說在使用者第一次輸入密碼錯誤後在多長時間裡可以恢複從0計算！

對于賬戶政策，企業裡一般就設定這些，在一些賬戶政策這塊出現的問題最多的就是，為什麼我在組政策裡設定了30天更改密碼，但到30時确沒有要求使用者更改呢？其實這個問題不細心的話很難找到答案。因為使用者已經應用了這個政策，但就是沒有生效，那是為什麼呢？因為我們在建立立使用者的時候，習慣的把使用者的密碼設定為了“永不過期”，如圖，是以，有些時候我們要細心的工作！

<a href="http://itmydream.blog.51cto.com/attachment/201202/18/961933_1329540999CqBV.jpg"></a>

還有一些常見的問題，比如，為什麼我給使用者新密碼後，他在當天更改的時候沒辦法更改，其實這久是應用了“密碼最短使用時間”的政策，是以我們一般建議企業裡設定為0，免得擔責任！

關于使用者的密碼政策也就這些，大家還有什麼補充的可以留言哈！

IT之夢---你---我—他

Day Day Up

本文轉自 IT之夢 51CTO部落格，原文連結:http://blog.51cto.com/itmydream/782655