Win2003 Server帐户和本地策略配置（上）

2006-1-9 6:25:00　　作者：模板天下收集整理　　来源：未知　网友评论 0 条　论坛

　　

　　强制密码历史
　　重新使用旧密码之前，该安全设置确定某个用户帐户所使用的新密码必须不能与该帐户所使用的最近多少旧密码一样。该值必须为0到24之间的一个数值。该策略通过确保旧密码不能在某段时间内重复使用，使用户帐户更安全。
　　
　　在域控制器上的默认值为24；而在独立服务器上为0。
　　
　　【注意】要维持密码历史记录的有效性，则在通过启用密码最短使用期限安全策略设置更改密码之后，不允许立即更改密码。
　　
　　密码最长使用期限
　　该安全设置确定系统要求用户更改密码之前可以使用该密码的时间（单位为天）。可将密码的过期天数设置在1至999天之间；如果将天数设置为0，则指定密码永不过期。如果密码最长使用期限在1至999天之间，那么“密码最短使用期限”（下面将介绍）必须小于密码最长使用期限。如果密码最长使用期限设置为0，则密码最短使用期限可以是1至998天之间的任何值。
　　默认值：42。
　　
　　【技巧】使密码每隔30至90天过期一次是一种安全最佳操作，取决于您的环境。通过这种方式，攻击者只能够在有限的时间内破解用户密码并访问您的网络资源。
　　
　　第三步，密码最短使用期限。该安全策略设置确定用户可以更改密码之前必须使用该密码的时间（单位为天）。可以设置1到998天之间的某个值，或者通过将天数设置为0，允许立即更改密码。密码最短使用期限必须小于上面设置的“密码最长使用期限”，除非密码最长使用期限设置为0（表明密码永不过期）。如果密码最长使用期限设置为0，那么密码最短使用期限可设置为0到998天之间的任意值。
　　
　　如果希望上面设置的“强制密码历史”安全策略选项设置有效，请将密码最短有效期限配置为大于0。如果没有密码最短有效期限，则用户可以重复循环通过密码，直到获得喜欢的旧密码。默认设置不遵从这种推荐方法，因此管理员可以为用户指定密码，然后要求当用户登录时更改管理员定义的密码。如果将该密码的历史记录设置为0，则用户不必选择新密码。因此，默认情况下将密码历史记录设置为1。在域控制器上的默认值为1；而在独立服务器上为0。
　　
　　第四步，密码长度最小值。该安全设置确定用户帐户的密码可以包含的最少字符个数。可以设置为1到14个字符之间的某个值，或者通过将字符数设置为0，可设置不需要密码。在域控制器上的默认值为7；而在独立服务器上为0。
　　
　　第五步，用可还原的加密来存储密码。该安全设置确定操作系统是否使用可还原的加密来存储密码。如果应用程序使用了要求知道用户密码才能进行身份验证的协议，则该策略可对它提供支持。使用可还原的加密存储密码和存储明文版本密码本质上是相同的。因此，除非应用程序有比保护密码信息更重要的要求，否则不必启用该策略。
　　
　　当使用质询握手身份验证协议（CHAP）通过远程访问或Internet身份验证服务（IAS）进行身份验证时，该策略是必需的。在Internet信息服务（IIS）中使用摘要式验证时也要求该策略。系统默认值为禁用。
　　
　　上面介绍的是在本地计算机上配置以上密码安全策略选项的方法，下面继续介绍在其它两种情形中这些密码策略选项的配置方法。
　　
　　2. 在域环境中，并且您位于已加入到域中的成员服务器或工作站
　　
　　对于这种情形，用户的本地密码策略配置方法如下：
　　
　　第1步，执行〖开始〗→〖运行〗菜单操作，在对话框的“打开”文本框中输入“mmc”命令，打开Microsoft管理控制台（MMC），如图所示。
　　

　
　　第2步，执行〖文件〗→〖添加/删除管理单元〗菜单操作，打开如图所示对话框。在这个对话框中可以添加在控制台管理的管理单元。
　　 　
　　第3步，单击“添加”按钮，打开如下图所示对话框。在这个对话框中找到“组策略对象编辑器”选项，然后双击，或单击选择它后按“添加”按钮，打开如图所示对话框。在这个对话框中要求选择所添加的“组策略对象编辑器”所作用的对象。
　　 　
　　 　
　　因此处介绍的是成员服务器或工作站（非本地计算机），所以需单击“浏览”按钮，在打开的对话框中选中“计算机”选项卡（对话框如下图所示）。在对话框中选择“另一计算机”单选项，然后直接在下面的文本框中输入或再次通过单击“浏览”按钮，打开对话框查找。
　　 　

　　第4步，输入或者选择好计算机名后，单击“确定”按钮即可返回到如上图所示对话框。单击“完成”按钮，如果所选择的成员服务器或工作站与当前服务器的网络连接正常的话，即可把它们指派到组策略对象编辑器中。

 

共分3页  [1] [2] [3]

>> 相关文章