在域中配置多元密码策略

任务要求

WorldSkills2017.china域里的所有用户密码都要求启用密码复杂性，除了sales组。sales组密码长度要求最少3位。

任务分析

世赛的难度还是比较大的，每一道题目虽然只有短短几句话，但却暗藏着一个巨大的坑，这道题目就是典型。
在默认的域策略Default Domain Policy里，本身已经启用了密码复杂性，题目要求对某个组再设置单独的密码策略，起初本能的想到对这个组单独设置组策略，但细究下去却发现，如果使用组策略，那么是无论如何也完成不了这个任务的。
百度了一番才知道，原来从Windows Server 2008系统开始，在域中引入了多元密码策略(Fine-Grained Password Policy)的概念，通过多元密码策略允许针对不同用户或全局安全组应用不同的密码策略，而这正是解开这道题目的正确钥匙。
在Windows Server 2008之前的系统中，密码策略只能指派到域或站点上，不能单独应用于活动目录中的对象。换句话说，密码策略在域级别起作用，而且一个域只能有一套密码策略。统一的密码策略虽然大大提高了安全性，但是提高了域用户使用的复杂度。举个例子来说，企业管理员的帐户安全性要求很高，需要超强策略，比如密码需要一定长度、需要每两周更改管理员密码而且不能使用上几次的密码；但是普通的域用户并不需要如此高的密码策略，也不希望经常更改密码或是使用很长的密码，超强的密码策略并不适合他们。
为解决这个问题，在Windows Server 2008中引入了多元密码策略，从而满足不同用户对于安全性的不同要求。
多元密码策略部署要求有以下几点：
A. 必须把域功能级别提升为windows Server 2008以上；
B. 如果一个用户和组有多个密码设置对象PSO（可以把PSO理解为和组策略对象GPO类似，通俗的理解为就是一条条的密码策略），那么优先级最小的PSO将最终生效;
C. 多元密码策略只可以应用在用户与安全组上，不能应用到计算机上，同时也不能直接应用到OU上。

任务实现

要实现多元密码策略，主要是通过ADSI编辑器。打开ADSI编辑器，按照如图所示展开至CN=Password Settings Container，并在上面右击，选择新建对象。

然后出现新建对象窗口，类别只有一个密码设置，点击下一步

接下来为PSO取个有意义的名字，便于自己管理。

接下来修改msDS-PasswordSettingsPrecedence属性，设置密码的优先级，数值越小，优先级越高，这里设为1。

接下来修改msDS-PasswordReversibleEncryptionEnabled属性，可接受输入的值为false/true。这项属性用于设置是否启用密码可还原加密功能，开启后可以用工具逆向还原出用户的密码，如果没有特殊需求，建议设置为false。

接下来修改msDS-PasswordHistoryLength属性，即强制密码历史，默认是24个，因为题目并没有明确要求，这里随意设置为3个历史密码不能重复。

接下来修改msDS-PasswordComplexityEnabled属性，即是否启用密码复杂性要求，这里设为false。

接下来修改msDS-MinimumPasswordLength属性，设置最短密码长度，这里按题目要求设置为3。

接下来修改msDS-MinimumPasswordAge属性，设置密码最短使用期限，要求输入格式为00:00:00:00，这4段分别表示"天、小时、分、秒"，而且只可以输入1天的整数倍，默认是使用1天后才能再次更改密码。这里输入00:00:00:00，也就是可以立即更改密码。

接下来修改msDS-MaximumPasswordAge属性，设置密码最长使用期限，默认是42天，这里采用默认值。

接下来修改msDS-LockoutThreshold 属性，即用户帐户的锁定阈值，默认没有限制，这里设置为输入3次错误密码就自动锁定。

接下来修改msDS-LockoutObservationWindow属性，即多长时间复位帐户锁定计数器，这里设置为30分钟后复位。

接下来修改msDS-LockoutDuration属性，也就是设置锁定用户帐户的持续时间，这里输入锁定30分钟，需要注意此项数值一定要大于等于msDS-LockoutObservationWindow属性的数值。

点击下一步之后，PSO创建完成。

编辑完成后，打开属性编辑器，找到msDS-PSOAppliesTo属性，通过该属性可以设置将PSO应用到哪些用户或是组。

设置属性，添加sales组。

至此配置完成，并且可以立即生效。尝试为sales组中的用户重置密码，可以成功设置长度为3位的密码了。