精緻密碼和鎖定原則

精緻密碼原則(Fine-Grained Password Policies)

精緻密碼原則允許系統管理員針對不同的使用者或群組套用不同的密碼與帳戶鎖定原則, 而不再只能透過「預設網域原則」設置單一密碼原則

功能特色:

。設定不同的密碼長度、複雜度、歷史記錄等規則

。支援在同一網域中為不同群組(例如高權限帳戶與一般員工)設定不同安全等級的密碼原則

。僅適用於 Windows Server 2008及之後版本的 Active Directory網域

例如:

。IT管理群組需要至少 15字元的密碼並每 30天更換一次

。一般使用者則僅需 8字元且每 90天更換一次

設定方式:w-studio.idv.tw

透過 PowerShell或 AD管理中心(ADAC)建立 Password Settings Object(PSO)並套用至特定使用者或群組

AD使用者和電腦無法作設定

AD管理中心可以作設定

鎖定原則(Account Lockout Policies)

帳戶鎖定原則用來防止暴力破解, 當使用者連續輸入錯誤密碼超過設定的次數時其帳戶會被暫時鎖定

可設定的參數包括:

。Account lockout threshold(帳戶鎖定閾值): 允許多少次錯誤登入嘗試

。Account lockout duration(鎖定持續時間): 帳戶被鎖定多久之後會自動解除

。Reset account lockout counter after(錯誤計數重設時間): 多少分鐘內沒有錯誤登入, 錯誤次數會重設

例如:

。錯誤登入 5次會鎖定帳號

。鎖定時間為 15分鐘

。如果在 10分鐘內沒有錯誤, 錯誤次數歸零

作用範圍:

。可在「群組原則」中設置, 預設套用於整個網域

。配合精緻密碼原則可讓不同群組有不同鎖定設定(從 Windows Server 2012起支援精緻密碼原則中也設定鎖定原則)