首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

操作系统

Windows 9X | Linux&Uinx | Windows Server | 其它操作系统 | Vista | FreeBSD | Windows 7 |
首页 > 操作系统 > Windows Server > 精通Windows Server 2008 多元密码策略之LDIFDE篇 > 正文

精通Windows Server 2008 多元密码策略之LDIFDE篇

出处:Windows中文论坛 作者:尘封メ心 时间:2008-9-11 11:52:13
前言
在上一篇文章《精通Windows Server 2008 多元密码策略之ADSIEDIT篇》中我向大家介绍了如何通过ADSIEDIT工具和活动目录用户和计算机管理单元创建、管理密码设置对象PSO。原理性的东西和需要注意的地方我就这这篇文章和之后的文章中不再赘述了。有需要的请查看上篇文章。接下来的重点主要是动手部分。废话少说,开始!为了让大家在操作的时候有一个清晰的思路,我将主要的操作步骤写出来:

步骤 1:创建 PSO
步骤 2:将 PSO 应用到用户和/或全局安全组
步骤 3:管理 PSO
步骤 4:查看用户或全局安全组的结果 PSO
步骤5:验证结果
注:由于通用性和重复性,有些步骤不一定会演示出来,请参考前面的文章。


实战
Ⅱ. LDIFDE
步骤1:创建PSO
1. 在使用LDIFDE工具创建PSO前,我觉得很有必要介绍一下“负PSO 属性值”这个概念。从前面那篇文章可以知道,使用 ADSI Edit 创建密码设置对象 (PSO) 时,是以 dd:hh:mm:ss 格式输入四个与时间相关的 PSO 属性(msDS-MaximumPasswordAge、msDS-MinimumPasswordAge、msDS-LockoutObservationWindow 和 msDS-LockoutDuration)的值。而在这篇文章中使用 ldifde 命令创建 PSO 时,则必须以 I8 格式输入这些属性的值,这种格式以 -100 毫微秒的间隔存储时间。Windows Server 2003“默认域策略”将此确切的时间单位用于其相应的时间相关属性。若要将这些属性设置为适当的值,请将以分钟、小时或天为单位的时间值转换为以 100 毫微秒为间隔的时间值,然后在所得到的值前面加个负号。是不是有点晕?看个例子就很简单了:
1分钟换算成I8值为:

-60*(10^7) = - 600000000

1小时换算成I8值为:

-60*60* (10^7) = -36000000000

1天换算成I8值为:

-24*60*60*(10^7) = -864000000000

例如,如果您希望将 msDS-MaximumPasswordAge 设置为 10 天,则用 -864000000000 乘以 10,并将得到的 I8 值应用到 msDS-MaximumPasswordAge 属性(在本例中为 -8640000000000)。如果您希望将 msDS-LockoutDuration 设置为 30 分钟,则用 -600000000 乘以 30 以得到相应的 I8 值(在本例中为 -18000000000)。

2.
通过将以下示例代码保存为一个文件(例如,AdminPSO.ldf),来创建一个新 PSO 的设置:
dn:CN=AdminPSO,CN=PasswordSettings Container,CN=System,DC=Winos,DC=cn(注意:Password Settings Container3个单词中用空格两两隔开。我这里是为了word排版美观,就没有隔开。)
changetype: add
objectClass:msDS-PasswordSettings
msDS-MaximumPasswordAge:-12096000000000
(
密码最长可以使用14天)
msDS-MinimumPasswordAge:-0
(密码最短必须使用0天,即可以立即更改密码)
msDS-MinimumPasswordLength:16
(密码最小长度为16个字符)
msDS-PasswordHistoryLength:3
(密码不能和过去的3个重复)
msDS-PasswordComplexityEnabled:TRUE
(启用密码复杂性要求)
msDS-PasswordReversibleEncryptionEnabled:FALSE
(
启用用户密码不可还原加密)
msDS-LockoutObservationWindow:-18000000000
(账号锁定窗口时间30分钟)
msDS-LockoutDuration:-18000000000
(账号锁定观察窗口时间30分钟)
msDS-LockoutThreshold:3
(输入错误密码3次就锁定)
msDS-PasswordSettingsPrecedence:1
(该PSO的优先级)
msDS-PSOAppliesTo:CN=PSOGroup,OU=TestOU,DC=Winos,DC=cn
(GPO应用对象)
图1
如图1所示,请确保不要在每行文本后有多余的空格。

3. 在定义PSO属性的时候,有一些地方还得注意一下,额外的解释就没必要了,主要是一些逻辑上的注意点:
a. msDS-MinimumPasswordAge 的值必须小于或等于 msDS-MaximumPasswordAge 的值。
b.
msDS-LockoutObservationWindow
的值不能小于 msDS-LockoutDuration 的值。
c.
不能将 msDS-MaximumPasswordAge 的值设置为零。

4. 打开命令提示符,键入以下命令,如图2所示。
ldifde –i –f AdminPSO.ldf

图2


步骤 2:将 PSO 应用到用户和/或全局安全组
1.
在步骤1定义的文件AdminPSO.ldf中,有一个字段msDS-PSOAppliesTo:CN=PSOGroup,OU=TestOU,DC=Winos,DC=cn就表示将该PSO链接到具体的对象。如果想更改链接,可以将以下示例代码复制到一个文件(例如,ModifyAppliesTo.ldf)中,来指定你希望将什么 PSO 应用到哪些用户或全局安全组。例如我再新建一个用户lisi(他并不隶属于PSOGroup安全组),并将AdminPSO链接到他身上,如图3所示。
dn:CN=AdminPSO,CN=PasswordSettings Container,CN=System,DC=Winos,DC=cn
changetype:modify
replace:msDS-PSOAppliesTo
msDS-PSOAppliesTo:CN=PSOGroup,OU=TestOU,DC=Winos,DC=cn
msDS-PSOAppliesTo:CN=lisi,OU=TestOU,DC=Winos,DC=cn
-

图3
注:
文件中代码的最后一行中的连字符是必需的。用来表述输入终止。此外,DN字段中不要有中文,LDIFDE不支持中文。




2.
打开命令提示符,键入以下命令,如图4.
ldifde –i –f ModifyAppliesTo.ldf

图4

步骤 3:管理 PSO
1.
如何想查看和修改 PSO 设置修改 PSO 优先级可以参考前面那篇文章。(尽管仍可以通过ldifde命令实现这些操作,但是通过GUI界面还是方面不少)这里就介绍一下如何使用ldifde删除 PSO
2.
通过将以下内容保存到一个文件(例如,DeletePSO.ldf)中,如图5,来指定要删除的 PSO:
dn:CN=PSO1,CN=PasswordSettings Container,CN=System,DC=dc1,DC=contoso,DC=com changetype: delete

图5

3.
打开命令提示符,键入以下命令,如图6
ldifde
–i
–f
DeletePSO.ldf


图6

步骤 4:查看用户或全局安全组的结果 PSO
请参考前面的文章,此处略。


步骤5:验证结果
请参考前面的文章,此处略。



结束语
在这篇文章中,我向大家演示了如何通过ldifde工具来管理多元密码策略。由于很多操作在GUI界面中更具备便捷性,所以我就没有进行过多的演示。目的是不想舍近求远。在下一篇文章中,我将向大家阐述如何使用Quese公司出品的针对AD的PowerShell来实现、管理多元密码策略。
相关文章 热门文章
  • Lync Server 2010部署攻略之域管理员启用
  • Lync Server 2010部署攻略之服务器部署篇
  • Lync Server 2010部署攻略之标准版部署体验
  • Lync Server 2010部署攻略之规划准备篇
  • 在配置完 Exchange Server 2010 CAS Array后需要做的两件事
  • windows NT 4.0 Domain升级到windows server 2008 R2需要注意的几个问题
  • Exchange Server 2010与RMS集成
  • Exchange Server 2010 跨组织移动邮箱
  • 设置Exchange Server 2010客户端访问服务器的URL
  • Exchange Server 2007中配置多名称证书
  • 配置Exchange Server 2010 DAG
  • 利用网络负载均衡来实现Exchange Server 2010客户端访问的高可用性
  • “http 500内部服务器错误”的解决方法
  • 利用Windows 2000 Server的RRAS实现VPN服务器
  • 用凤凰万能启动盘解决本地/域管理员密码丢失
  • Win2003 Server企业版安装配置
  • Active directory 灾难恢复
  • Windows 2000/03域和活动目录
  • 如何在vmware4上创建windows 2003群集
  • MSI文件制作全过程
  • Win2000命令全集(一)
  • Windows 2000/AD技巧
  • 此系统的本地策略不允许您采用交互式登录解决方法
  • Win2000路由的安装与设置实现不同网段互通
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号