步骤 1:创建 PSO
更新时间: 2010年7月
应用到: Windows Server 2008, Windows Server 2008 R2
创建 PSO
您可以创建密码设置对象 (PSO):
使用 ADSI Edit 创建 PSO
Active Directory 服务界面编辑器 (ADSI Edit) 提供了 Active Directory 域服务 (AD DS) 林中全部对象和属性的视图。您可以使用 ADSI Edit 查询、查看和编辑 AD DS 对象和属性。
Domain Admins 中的成员身份或同等身份是完成此过程所需的最低要求。 查看有关使用适当帐户和组成员关系的详细信息,请访问本地默认组和域默认组(http://go.microsoft.com/fwlink/?LinkId=83477)(可能为英文链接)。
使用 ADSI Edit 创建 PSO 的步骤
-
依次单击“开始”、“运行”,键入 adsiedit.msc,然后单击“确定”。
备注如果您是第一次在域控制器上运行 ADSI Edit,则继续执行步骤 2。否则,继续执行步骤 4。 -
在 ADSI Edit 管理单元中,右键单击 ADSI Edit,然后单击“连接到”。
-
在“名称”中,键入要在其中创建 PSO 的域的完全限定的域名 (FQDN),然后单击“确定”。
-
双击该域。
-
双击 DC=<domain_name>。
-
双击 CN=System。
-
单击 CN=Password Settings Container。
会显示所选域中已创建的所有 PSO 对象。
-
右键单击 CN=Password Settings Container,单击“新建”,然后单击“对象”。
-
在“创建对象”对话框的“选择类”下,单击 msDS-PasswordSettings,然后单击“下一步”。
-
在“值”中,键入新 PSO 的名称,然后单击“下一步”。
-
继续该向导,为所有 mustHave 属性输入适当的值。
重要事项若要禁用帐户锁定策略,请为 msDS-LockoutThreshold 属性分配值 0。 备注若要避免 ADSI Edit 出现错误,必须以 d:hh:mm:ss 格式(推荐)或 I8 格式为四个与时间相关的 PSO 属性(msDS-MaximumPasswordAge、msDS-MinimumPasswordAge、msDS-LockoutObservationWindow 和 msDS-LockoutDuration)输入值。请注意,仅在 Windows Server 2008 版本的 ADSI Edit 中才能使用 d:hh:mm:ss 格式。有关如何将时间单位值转换为 I8 值的详细信息,请参阅附录 B:PSO 属性约束中的“负 PSO 属性值”。 备注有关与时间相关的 PSO 属性的详细信息,请参阅附录 B:PSO 属性约束中的“PSO 属性参考完整性”。 属性名称 描述 可接受的值范围 示例值 msDS-PasswordSettingsPrecedence
密码设置优先级
大于 0
10
msDS-PasswordReversibleEncryptionEnabled
用户帐户的密码可还原的加密状态
FALSE/TRUE(推荐:FALSE)
FALSE
msDS-PasswordHistoryLength
用户帐户的密码历史长度
0 到 1024
24
msDS-PasswordComplexityEnabled
用户帐户的密码复杂性状态
FALSE/TRUE(推荐:TRUE)
TRUE
msDS-MinimumPasswordLength
用户帐户的最短密码长度
0 到 255
8
msDS-MinimumPasswordAge
用户帐户的最短密码期限
- (无)
- 00:00:00:00 到 msDS-MaximumPasswordAge 值
1:00:00:00(1 天)
msDS-MaximumPasswordAge
用户帐户的最长密码期限
- (永不过期)
- msDS-MinimumPasswordAge 值到(永不过期)
- 不能将 msDS-MaximumPasswordAge 设置为零
42:00:00:00(42 天)
msDS-LockoutThreshold
用户帐户锁定的锁定阈值
0 到 65535
10
msDS-LockoutObservationWindow
用户帐户锁定的观察窗口
- (无)
- 00:00:00:01 到 msDS-LockoutDuration 值
0:00:30:00(30 分钟)
msDS-LockoutDuration
锁定用户帐户的锁定持续时间
- (无)
- (永不过期)
- msDS-LockoutObservationWindow值到(永不过期)
0:00:30:00(30 分钟)
msDS-PSOAppliesTo
到此密码设置对象所应用到的对象的链接(正向链接)
用户或全局安全组的 0 个或多个 DN
“CN=u1,CN=Users,DC=DC1,DC=contoso,DC=com”
备注若要创建 PSO 而不将其应用到任何用户或全局安全组,请继续执行步骤 17。否则,继续执行步骤 12。 - (无)
-
在向导的最后一个屏幕上,单击“更多属性”。
-
在“选择要查看的属性”菜单上,单击“可选”或“两者”。
-
在“选择要查看的属性”下拉列表中,选择 msDS-PSOAppliesTo。
-
在“编辑属性”中,添加要将该 PSO 应用到的用户或全局安全组的可分辨名称,然后单击“添加”。
-
重复执行步骤 15 将该 PSO 应用到更多用户或全局安全组。
-
单击“完成”。
使用 ldifde 创建 PSO
您可以将 ldifde 命令用作创建 PSO 的脚本化备用方案。
LDAP 数据交换格式 (LDIF) 是一种 Internet 标准文件格式,该文件格式可用于对符合轻型目录访问协议 (LDAP) 标准的目录执行批处理操作。可以使用 LDIF 导出和导入数据。LDIF 可执行批处理操作,如对 AD DS 执行的添加、创建和修改。安装 AD DS 角色时,提供了一个名为 LDIFDE 的工具程序,以支持基于 LDIF 文件标准进行批处理操作。有关详细信息,请参阅“使用 LDIFDE 将目录对象导入或导出到 Active Directory”(http://go.microsoft.com/fwlink/?LinkId=87487)(可能为英文网页)。
Domain Admins 中的成员身份或同等身份是完成此过程所需的最低要求。 查看有关使用适当帐户和组成员关系的详细信息,请访问本地默认组和域默认组(http://go.microsoft.com/fwlink/?LinkId=83477)(可能为英文链接)。
使用 ldifde 创建 PSO 的步骤
-
通过将以下示例代码保存为一个文件(例如,pso.ldf),来定义新 PSO 的设置:
dn: CN=PSO1, CN=Password Settings Container,CN=System,DC=dc1,DC=contoso,DC=com changetype: add objectClass: msDS-PasswordSettings msDS-MaximumPasswordAge:-1728000000000 msDS-MinimumPasswordAge:-864000000000 msDS-MinimumPasswordLength:8 msDS-PasswordHistoryLength:24 msDS-PasswordComplexityEnabled:TRUE msDS-PasswordReversibleEncryptionEnabled:FALSE msDS-LockoutObservationWindow:-18000000000 msDS-LockoutDuration:-18000000000 msDS-LockoutThreshold:0 msDS-PasswordSettingsPrecedence:20 msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1,DC=contoso,DC=com
备注使用 ldifde 创建 PSO 时,必须以 I8 格式为四个与时间相关的 PSO 属性(msDS-MaximumPasswordAge、msDS-MinimumPasswordAge、msDS-LockoutObservationWindow 和 msDS-LockoutDuration)输入值。有关如何将时间单位值转换为 I8 值的详细信息,请参阅附录 B:PSO 属性约束中的“负 PSO 属性值”。 备注有关与时间相关的 PSO 属性的详细信息,请参阅附录 B:PSO 属性约束中的“PSO 属性参考完整性”。 -
打开命令提示符。若要打开命令提示符,请依次单击“开始”和“运行”,再键入 cmd,然后单击“确定”。
-
键入以下命令,然后按 Enter:
ldifde –i –f pso.ldf
| 参数 | 描述 |
|---|---|
|
ldifde |
指定一个支持基于 LDIF 文件格式标准进行批处理操作的工具程序。 |
|
-i |
指定开启导入模式。 |
|
-f pso.ldf |
指定创建的输入文件的名称。 |