Windows Server 2008 Active Directory域服务的新增功能
|
精准密码策略 能在域中定义多个密码策略可能是 Windows Server 2008 ADDS 最受欢迎的功能。您可能知道,在 Windows 2000 和 Windows Server 2003 Active Directory 中,每个域仅支持一个应用于域中所有安全 主体的密码策略。如果一组特定用户需要一个单独的密码策略,您必须创建一个单独的域。但现在 Windows Server 2008 ADDS 中新增了一项功能,称为精准密码策略,您可以用它在域中定义多个密码策 略。 新策略使用组将精准的密码策略应用于用户。您先在 CN=密码设置容器、CN=系统、DC=<域> 容 器中创建新 msDS-PasswordSettings 对象来定义精准密码策略。msDS-PasswordSettings 对象(简称 PSO)包含与“组策略”中的密码策略设置平行的属性(请参见图 7)。 Figure 7 mSDS-PasswordSettings 对象中的属性 随后,您可通过将用户或组名称添加到 PSO 的多值 mDS-PSOAppliesTo 属性中为用户或 组指派密码策略。一旦您接受不向 OU 应用密码策略这一观念,会非常易于实施。但在其他方面还有一些 复杂。 用户通常是许多组的成员。因此,如果由于这些组成员关系导致了用户产生多项相互冲突的密 码策略,那又将如何呢?在这种情况下,ADDS 使用优先级评估来确定应用哪个密码策略。其工作原理如 下所示: 1.如果密码策略直接链接用户对象(而不是通过组成员关系),将应用该密码策略。 2.如 果多个密码策略直接与用户链接,将应用优先权值最小(由 PSO 的 msDS-PasswordSettingsPrecendence 属性值确定)的策略。 3.如果多个 PSO 的优先权相同,将应用 objectGUID 值最小的那个 PSO。 4.如果没有 PSO 与用户直接链接,ADDS 将评估与用户组相链接的 PSO。如果有多个 PSO,将应用 msDS-PasswordSettingsPrecedence 属性中值最小的那个 PSO。 5.如果多个 PSO 的优先权值相同,将 应用 objectGUID 值最小的那个 PSO。 6.如果没有 PSO 与用户相关联,将使用域密码策略。 (编辑:济南站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
