今天安裝了Windows Server 2008 R2系統,並且建了域環境,在添加新用戶的時候,發現用簡單的密碼時域安全策略提示密碼復雜度不夠,於是我就想在域安全策略里面把密碼復雜度降低一點,但是很快就發現,在Windows Server 2008域的默認“管理工具”中,根本沒有域安全策略這個選項(“域安全策略”在Windows Server 2003以前的系統默認在“管理工具”里面),只有一個本地安全策略(圖1所示)。
圖1
當打開本地安全策略時,你會發現無論是賬戶策略還是本地策略,里面的項目都是灰色不可修改,如圖2所示。
圖2
這是為什么呢?很簡單,只要你將Windows Server 2008 R2系統升級為域控制器,那么域會自動把本地安全策略的某些功能鎖定。那么Windows Server 2008 R2的域安全策略到底在哪里打開呢?經過一段時間的摸索,我終於找到了開啟之門。
1、點擊“開始”→“程序”→“管理工具”→點擊“組策略管理”(如圖1所示)。
2、在打開的組策略管理,一次展開“林”→“域”→“sayms.com(域名)”→“組策略對象”→右擊“Default Domain Policy”,選擇“編輯”(如圖3所示)。
圖3
3、在打開的“組策略管理編輯器”,依次展開“計算機配置”→“策略”,這個策略里面包含的就是Windows Server 2008的域安全策略啦O(∩_∩)O
如果你想修改賬戶密碼的復雜度,還得往下展開“Windows設置”→“安全設置”→“賬戶策略”→“密碼策略”(如圖4所示)。
當一台服務器被提升為域控制器后,本地策略不再有效,取而代之的是默認域策略。
本地組策略
本地組策略是指應用於本機,且設定后只會在本機起作用的策略,運行的方法為點開始 – 運行 – 然后鍵入gpedit.msc,在彈出本地組策略編輯器中即可進行設置。
域組策略
域組策略是指應用於站點,域或者組織單元(OUs)的策略,它的最終作用對象通常是多個用戶或者計算機,可以在DC上點開始 – 運行 – 然后鍵入gpmc.msc來運行。
密碼策略是屬於域級別的策略,必須在默認域策略或鏈接到根域的新策略中定義。所以雖然您可以在Default domain controller policy 中定義密碼策略,但是因為Default domain controller policy只應用到了domain controllers OU而不是整個域,所以在Default domain controller policy 中定義密碼策略是無效的。 另外由於域組策略的優先級高於本地組策略的優先級,在域密碼策略應用並生效后,所有已經加入域的電腦(包括DC)的本地策略中,密碼相關設置都會變成灰色不可修改狀態。
在本地策略中的,密碼策略就應該是灰色的,無法編輯。當我們點擊開始 – 運行 – 然后鍵入gpedit.msc回車后,本地策略編輯器就會被打開。而由於域組策略的優先級高於本地組策略的優先級,所有在域組策略中已經設定過的策略都將變為灰色不可修改狀態(比如密碼策略)。
如果您要修改密碼策略,您可以使用以下方法:
1.點擊開始 – 運行 – 然后鍵入gpmc.msc,回車后打開“組策略管理”控制台。
2.展開到 “域 -> Domain.com -> 組策略對象(Domain.com是指您的域名)”。
3.右鍵點擊Default Domain Policy然后選擇“編輯”。
4. 展開到“計算機配置 -> 策略-> Windows 設置 -> 安全設置 -> 賬戶策略 - > 密碼策略”。
5.您可以在右邊的窗口中定義密碼相關的策略,此策略會應用於整個域中的所有賬戶。
域級別策略
https://www.microsoft.com/china/technet/security/topics/serversecurity/tcg/tcgch02n.mspx