第2步,因密码策略是属于用户策略范畴,所以先需在如上图所示界面中单击选择“用户策略”选项,然后再选择“密码策略”选项,在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。
因为各策略选项的配置方法基本一样,所以在此仅以一个选项的配置进行介绍,其它只对各选项的具体作用进行简单介绍。
如配置“密码必须符合复杂性要求”选项,可设置确定密码是否符合复杂性要求。启用该策略,则密码必须符合以下最低要求:
(1)不包含全部或部分的用户帐户名
(2)长度至少为六个字符
(3)包含来自以下四个类别中的三个的字符:
英文大写字母(从A到Z)
英文小写字母(从a到z)
10个基本数字(从0到9)
非字母字符(例如,!、$、#、%)
如果启用了此安全策略,而您所配置的用户密码不符合此配置要求时系统会提示错误。有时您可能百思不得其解,认为自己所设的密码已经够长,而且也是属于随机的,不全都是数字或字母,可系统为什么还是老说错误呢?一般来说是由于您所设的密码所包括的字符类型不足以上四个中的三个。通常只各个领域其中的两种,即数字和字母,而没有考虑到字母的大小写或者非字母字符,所以达不到复杂性要求。更改或创建密码时,会强制执行复杂性要求。
默认情况下,在域控制器上默认是已启用了这一策略的;而在独立服务器上则默认是禁用的。
这个安全选项的配置方法是在如上图所示界面的右边信息窗口中双击“密码必须符合复杂性要求”选项,打开如图所示对话框。在这个对话框中就可随意启用或者禁用这个安全策略选项,配置好后单击“确定”按钮使配置更改生效。
其它选项的配置方法都一样,都是通过双击或者单击右键,然后选择“属性”选项,打开类似如图2所示对话框,在这些对话框中进行配置即可。不过为了便于工作于大家理解和配置,下面简单介绍其它密码策略选项的含义。
强制密码历史
重新使用旧密码之前,该安全设置确定某个用户帐户所使用的新密码必须不能与该帐户所使用的最近多少旧密码一样。该值必须为0到24之间的一个数值。该策略通过确保旧密码不能在某段时间内重复使用,使用户帐户更安全。
在域控制器上的默认值为24;而在独立服务器上为0。
【注意】要维持密码历史记录的有效性,则在通过启用密码最短使用期限安全策略设置更改密码之后,不允许立即更改密码。
密码最长使用期限
该安全设置确定系统要求用户更改密码之前可以使用该密码的时间(单位为天)。可将密码的过期天数设置在1至999天之间;如果将天数设置为0,则指定密码永不过期。如果密码最长使用期限在1至999天之间,那么“密码最短使用期限”(下面将介绍)必须小于密码最长使用期限。如果密码最长使用期限设置为0,则密码最短使用期限可以是1至998天之间的任何值。
默认值:42。
【技巧】使密码每隔30至90天过期一次是一种安全非常好的操作,取决于您的环境。通过这种方式,攻击者只能够在有限的时间内破解用户密码并访问您的网络资源。