本文到此讀者們可能忘了一件重要的密碼安全原則管理功能,那就是傳統的密碼原則除了可以套用在整個網域的使用者之外,是否也能夠針對特定的組織容器(OU)來各自套用不同的密碼原則呢?一般 IT 人的直覺通常會是認為應該可行,但實際上卻是做不到的。不過還好後來微軟已提供了所謂的 PSO(Password Settings Object)管理功能,來解決這一項密碼政策的管理問題,透過它可以讓我們直接針對特定的網域使用者或群組,來設定並套用不同密碼原則,更令人慶幸的是此功能幾年剛推出時,只能夠使用那不太好用的 ADSIEdit 編輯器或是 ldifde 命令工具來進行配置。
如今已有超簡單的做法來完成。請從[伺服器管理員]的[工具]下拉選單中開啟[Active Directory管理中心],然後點選至[System]\[Password Settings Container]節點,便可以如圖 40 所示在[工作]窗格中點選[新增]\[密碼設定]繼續。
圖 40 工作選單
如圖 41 所示在[建立密碼設定]頁面中,請先設定該原則的名稱以及優先順序,然後就可以開始勾選與設定所要使用的密碼原則,包括了密碼長度最小值、密碼歷程記錄、密碼複雜性需求等等。完成原則項目設定之後,就可以點選[新增]來加入所要套用的目標對象,例如業務人員群組、特定的研發人員或財務管理人員帳戶等等。
圖 41 PSO 密碼原則套用
成功套用 PSO 密碼原則設定之後,凡是被套用的人員或群組成員,未來只要變更密碼的時間到期時,若是新的密碼設定不符合 PSO 所制定的原則,將會和一般群組原則的密碼原則設定一樣,立即出現如圖 42 所示的錯誤訊息。
圖 42 人員無法變更密碼
|