组策略之账户安全设置

上一篇忘记提醒了，在企业里，我们根据需求进行部署组策略的时候，是严禁使用默认域策略的，这一点一定要慎重，有什么需求，可以新建一条策略进行链接到需要的位置，这样在组策略部署有困难的时候可以快速的定位故障点，如果策略都使用默认策略，可想而知，遇到故障的时候你无从下手！

在AD这个平台上，我们要想使用资源，那么我们就必须先拥有一个通行证，对，就是账号了，账号对于一个域来说，是一个很重要的一把钥匙，拥有了他你就如拥有了法宝，可以在一定的规则里通行无阻，所以，我们有必要保护好我们的钥匙：

账户密码策略

密码策略：

1，在组策略中可以对账户的密码安全性进行设置，打开组策略，定位到如图

<a href="http://itmydream.blog.51cto.com/attachment/201202/18/961933_1329540997HjPt.jpg"></a>

2，这里可以看到丰富的密码安全策略条目。通常，为了保证用户密码的安全性，请启用密码必须符合复杂性要求：

   a,密码长度最小值：一般是6个以上，这是必须的

   b, 密码最短使用期限：一般我们设置为0，也就是说随时都可以更改，有些同学设置为了1，不了解情况，在用户进行更改的密码的时候无法更改，设置为1，也就是说这个密码最少要使用24小时，不然是不允许更改的！当我们为一个新用户设置了账号和密码后，为了避免责任我们一般会要求用户立马更改，所以有必要设置为0

   c,密码最长使用期限：这个可以根据公司的安全考虑，一般一个月改一次，当然了，你也可以要求7天，根据自身的情况安排

   d,强制密码历史：这里说的是DC可以记住多少个历史密码，比如说，用户使用密码为123,到这个密码到期后需要更改密码了，他改成了456，但觉得没有123方便好记，他在更改成456后又立马更改成了123，这个时候就没有达到我们的预期效果，这跟没改一个样，所以我们设置2个，当然也可以更多，不允许他使用前面的2个密码

账户密码锁定

1，为了防止依靠猜测密码恶意登录，可以使用账户锁定策略进行配置，设定尝试登录失败阀值，激活账户锁定，使得被恶意猜测登录的账户在一定时间内不可用。我们把策略定位到如图

<a href="http://itmydream.blog.51cto.com/attachment/201202/18/961933_1329540998TPYR.jpg"></a>

2，我们来看下解释

a,账户锁定时间：就是说在用户输入错误密码达到阀值以后的锁定时间，可长可短，一般是30分钟，在企业里因为时间的关系，设置10分钟即可！

b.账户锁定阀值：就是说用户输入密码错误的次数，比如3次，5次，这个很好理解

c, 重置账户锁定计数器：也就是说在用户第一次输入密码错误后在多长时间里可以恢复从0计算！

对于账户策略，企业里一般就设置这些，在一些账户策略这块出现的问题最多的就是，为什么我在组策略里设置了30天更改密码，但到30时确没有要求用户更改呢？其实这个问题不细心的话很难找到答案。因为用户已经应用了这个策略，但就是没有生效，那是为什么呢？因为我们在新建立用户的时候，习惯的把用户的密码设置为了“永不过期”，如图，所以，有些时候我们要细心的工作！

<a href="http://itmydream.blog.51cto.com/attachment/201202/18/961933_1329540999CqBV.jpg"></a>

还有一些常见的问题，比如，为什么我给用户新密码后，他在当天更改的时候没办法更改，其实这久是应用了“密码最短使用时间”的策略，所以我们一般建议企业里设置为0，免得担责任！

关于用户的密码策略也就这些，大家还有什么补充的可以留言哈！

IT之梦---你---我—他

Day Day Up

本文转自 IT之梦 51CTO博客，原文链接:http://blog.51cto.com/itmydream/782655