安全观察Windows域密码策略Microsoft认证考试
文章作者 100test 发表时间 2010:05:05 20:53:47
来源 100Test.Com百考试题网
如果您是 Windows 域的管理员,一定会非常清楚域用户帐户的密码策略的相关限制。但随着WindowsServer2008的到来,其中一些限制将不复存在。让我们来看看这个新操作系统将如何解决这样一个问题:不能实现多个密码策略。
如果您运行的是 Windows? 域当前的任意版本(Windows NT?、Windows2000ActiveDirectory?或 WindowsServer?2003ActiveDirectory),就会受到每个域只能有一个密码策略的限制。事实上,对您产生限制的不仅是密码策略,而且还有帐户策略涵盖的范围更广的设置。图1显示了这些策略和设置。
Figure 1 Account policies
密码策略
强制密码历史
密码最长使用期限
密码最短使用期限
最短密码长度
密码必须满足复杂性要求
使用可逆加密存储密码
帐户锁定策略
帐户锁定时间
帐户锁定域值
重置帐户锁定计数器之前经过的时间...
Kerberos 策略
强制用户登录限制
服务票证最长寿命
用户票证最长寿命
用户票证续订最长寿命
计算机时钟同步的最大容差
默认情况下,这些策略设置适用于与域相关联的所有域帐户和用户帐户。这是因为组策略是沿着ActiveDirectory结构向下继承的。为了更好地认识这些策略如何影响域帐户和本地用户帐户,了解以下两点非常重要:这些策略的设置位置,以及组策略的继承方式如何影响所有不同的用户帐户。(请注意,Kerberos策略设置仅适用于域用户帐户,这是因为只有域用户帐户使用Kerberos进行身份验证。本地用户帐户使用NTLMv2、NTLM 或LM 进行身份验证。)