在 Windows的帳戶安全性管理中, 密碼設定物件(Password Settings Objects, PSOs)是用來實作精緻密碼原則(Fine-Grained Password Policies)的一種機制, 這項功能從 Windows Server 2008開始引入, 目的是讓系統管理員可以為不同的使用者或群組套用不同的密碼與帳戶鎖定原則, 而不是僅限於整個網域一套通用的密碼原則(如透過 Default Domain Policy設定)
PSO(Password Settings Object)
PSO是儲存在 Active Directory中的一種物件(實際上是 msDS-PasswordSettings類型的物件), 用來定義以下項目:
。最小/最大密碼長度
。密碼複雜性需求
。密碼最小使用期限
。密碼有效期限
。密碼歷史記錄
。錯誤登入次數導致帳戶鎖定
。帳戶鎖定時間與重設時間w-studio.idv.tw
PSO 會被套用到特定的使用者帳戶或全域安全性群組(Global Security Groups)
PSO的套用與優先順序(Precedence)
當一個使用者同時被多個 PSO套用, Active Directory會根據以下邏輯來決定最終適用的 PSO:
1. 優先順序屬性(msDS-PasswordSettingsPrecedence)
。數值越小優先順序越高
。系統會選擇擁有最低 Precedence數值的 PSO作為適用的 PSO
2. 若多個 PSO的 Precedence相同, 則會依照GUID排序來挑選, 但這種情況應盡量避免
結果PSO(Resultant PSO)
結果PSO是指一個使用者帳戶最終適用的 PSO, 也就是經過優先順序判斷後實際生效的那一個, 可以使用 PowerShell查詢某位使用者的 Resultant PSO, 這個命令會顯示該使用者實際套用的 PSO設定, 包括密碼長度、複雜性、鎖定原則等, 例如:
Get-ADUserResultantPasswordPolicy -Identity username
沒有留言:
張貼留言