修改用户的密码策略

项目描述

    EDU公司已经使用域环境一段时间了，但是许多员工反映使用复杂密码非常的麻烦，这样一来给员工工作带来一定的麻烦，为此公司重新制定了一套密码策略方案，方案如下：

（1）取消复杂密码限定。

（2）密码长度不能低于6位。

（3）密码使用期限无限制。

（4）员工5次输入密码错误，将锁定账户30分钟。

相关知识

1. 关于计算机操作系统的密码

    要使用Windows操作系统，必须输入有效的用户账号和密码，在系统验证无误后才可以使用，并且默认情况下可以访问和使用大部分资源。由此可见，用户账户对操作系统来说是非常重要的。而如果是域用户账户，则显得更为重要，因为通过它可以访问域中的大部分计算机和资源。因此要保证网络中的数据安全，首先要确保网络中的账户安全。

针对客户机，域管理员通常会对客户机的账户做如下处理：

（1）只保留必须的账号，删除或禁用不使用的账户。

（2）重命名敏感用户账户，如Administrator、Guest以及其他一些在安装软件或服务时（如IIS和终端服务）自动建立的账号。

（3）对于用户账户仅配置能满足他们完成工作的最小权限。

（4）实施严格的密码策略，阻止对密码的暴力攻击。

针对域的用户密码，域管理员通常会做如下处理：

（1）禁止使用空密码。空密码在给用户带来方便的同时，也给那些恶意用户带来了便捷。

（2）禁止使用与用户登录名相同及用户登录名的简化密码。各种密码破译首先都是以用户登录名及其变化进行密码猜测，因此这类密码被破译的概率非常高。

（3）禁止使用与用户相关的个人信息作为密码。有很多用户习惯用生日、电话号码等个人信息做密码，由于用户的个人信息很容易被其他人知道，如果一个与用户非常熟悉的人来猜测用户的密码时，这些是他首先会想到的。

（4）禁止使用英文单词作为密码。各种密码破译软件中都有一个密码字典，如果系统允许别人任意次的猜测密码时，这类密码也是非常容易被破译的。

（5）建议使用复杂性的密码，密码长度不少于8位，并定期更改密码。一个足够强壮的密码至少应该是复杂的密码，复杂的密码至少要包括大小写字母、数字、特殊字符，并且是无意义的组合和超过8位长度，如1qez@WYX。

2. 活动目录用户账户的密码策略

    在活动目录中，默认情况下，一个域只能使用一套密码策略，这套密码策略由【Default Domain Policy】进行统一管理。

如果一些企业需要针对不同群体设置不同的密码策略，则需要启用多元化密码策略（要求Windows Server 2008 R2以上域功能级别）。关于多元化密码策略的部署将在后续项目中进行介绍。

项目分析

针对本项目中公司提出的密码策略需求，域管理员可以通过修改【Default Domain Policy】的用户密码策略进行对应的配置即可。

项目操作

1. 域安全策略的密码策略修改

（1）在【服务器管理器】主窗口下，单击【组策略管理】，在弹出的【组策略管理】窗口中右键单击【Default Domain Policy】，在弹出的快捷菜单中选择【编辑】进行域默认组策略修改

（2）在弹出的【组策略管理编辑器】中依次展开【策略】→【Windows设置】→【安全设置】→【账户策略】→【密码策略】，此时右侧就可以看到密码策略的修改项了

（3）双击【密码必须符合复杂性要求】，在弹出的对话框中单击【说明】选项卡，从中可以看到该策略的详细说明

（4）将【密码必须符合复杂性要求】设置为【已禁用】，【密码长度最小值】设置为【6个字符】，取消【密码最长使用期限】设置

（6）活动目录的组策略一般要定期更新，如果想刚刚设置的策略马上生效，可以用gpupdate /force命令执行立刻更新组策略，打开命令行界面，输入该命令，执行刷新组策略操作

gpupdate /force

项目验证

（1）修改完成之后，用户设置密码时不得小于6位，无密码复杂性要求，密码可随时修改，如果用户连续输入5次错误密码，该账户将锁定30分钟。

（2）在【服务器管理器】主窗口下，单击【Active Directory用户和计算机】为“user02”重置密码，设置密码为“12345”，系统提示修改失败

（2）在【服务器管理器】主窗口下，单击【Active Directory用户和计算机】为“user02”重置密码，设置密码为“123456”，系统提示修改成功

（3）win10-01上当用户连续5次输入密码错误时，该账户被锁定

注：参考《Windows Server 2012 活动目录项目式教程》