Windows 2008 R2 Password Settings Object(PSO)設定

在Windows 2008 之前,網域下USER的密碼原則只能套用一種

但是在windows 2008 後的新功能PSO,可以設定多組密碼原則套用給個別USER 或是群組

因為有時候在企業的環境下設定密碼複雜度可以確保安全,但是在實際環境

針對公司所有員工本人倒是覺得無所謂,但是當大老闆突然問[我的密碼可以短一點嗎?或是可不可以不要每次都要改密碼好累喔] ==

這個時候PSO就可以發揮功用啦 !!

達成目標:

設定網域roylee 帳號密碼可以不需要密碼複雜度&密碼長度4碼就可以

要新增PSO物件,需要使用ADSI edit 工具

pso1

滑鼠右鍵 選 connect to

PSO2

輸入名稱 OK

pso3

點選 CN=system  下的CN=Password Settings Container

pso4

滑鼠右鍵 新增PSO 物件

pso5

點 [msDS-passwordsettings] Next

pso6

自訂PSO 名稱 Roy PSO

pso67

設定PSO優先順序,愈小愈優先 (msDS-passwordSettingsPrecedence)

pso8

設定[使用可回復加密存放密碼] (msDS-PasswordReversibleEncryptionEnable)

設定不使用 [False]

pso9

設定不能使用最近10個密碼 msDSHistoryLength

pso10

設定不使用密碼複雜度 msDS-passwordComplexityEnable

設定為False

pso11

設定密碼長度為4碼 msDS-MinimumPasswordLength

pso12

設定變更密碼時間: 就是當變更密碼後多久的時間才可以再次變更

設定為一天 msDS-MinimumPasswordAge 

設定 1:00:00:00 (日:小時:分鐘:秒)

pso13

設定多少天必須變更密碼 msDS-MaximumPasswordAge

設定45天  45:00:00:00 (日:小時:分鐘:秒)

pso134

設定在指定時間內登入5次失敗就鎖定帳號 msDS-LockoutThreshold

pso15

設定一小時內5次登入失敗就鎖定帳號msDS-LockoutObservationWindow

設定 0:01:00:00

pso16

設定帳號鎖定後多久後自動解鎖或是手動解鎖msDS-LockoutDuration

設定30分鐘  0:00:30:00

pso17

以上是基本PSO 一定要設定的項目,如要設定其他點選 [More Attributes]

pso18

將該原則套用給roylee

在新建的PSO 物件上滑鼠右鍵 屬性

pso19

找到 [msDS-PSOApplices To] 點 edit —> Add Windows Account

pso20

pso21

將roylee帳號加入 即可套用

pso22



本篇瀏覽人數: 341
本篇發表於 Windows 2008 R2 問題。將永久鏈結加入書籤。

Windows 2008 R2 Password Settings Object(PSO)設定 有 2 則回應

  1. Steven 說道:

    請問榮哥
    啟用 msDS-passwordComplexityEnable 之外

    密碼複雜原則
    可以大寫/小寫/數字/符號
    可以擇其二 就好,而不要使用預設的擇其三 嗎?

發表迴響

您的電子郵件位址並不會被公開。 必要欄位標記為 *

*

您可以使用這些 HTML 標籤與屬性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>