怎么配置AD域密码策略？

Active Directory (AD) 是 Windows Server 操作系统中提供的一项 Microsoft 服务，用于保存有关用户、计算机、打印机、共享文件和文件夹以及其他设备的信息。

它类似于电话簿，只是它是一种帮助整理和存储这些信息的软件，因此您可以随时访问它们。

它还提供对这些资源的访问和权限，这可确保您始终掌握资源及其使用情况。

Active Directory 在大多数情况下也易于使用和直观。

在本文中，我们将了解如何轻松地为 AD 配置域密码策略。

AD 带有默认的域密码策略，您在创建密码时必须遵守其规则。

找到默认域策略

要查看默认策略，

• 转到“开始”并单击“运行”（或按相同类型的Windows + R键调出运行窗口）
• 键入gpmc.msc并按 Enter。
• 这将打开组策略管理控制台，您可以在此处找到 AD 的默认域密码策略。
• 展开Forest -> Domains -> Your Domain。
• 导航到名为“组策略对象”的文件夹
• 单击此文件夹时，您会注意到它下面有几个文件。导航到名为“默认域策略”的文件。右键单击此文件并选择“编辑”

• 这应该会打开一个包含更多文件和文件夹的新窗口。
• 转到计算机配置->策略-> Windows 设置->安全设置->帐户策略->密码策略
• 当您单击“密码策略”时，您会在右侧窗格中看到一个文件列表，其中每个文件都是策略的不同方面，例如最短密码长度、密码、年龄等。

• 单击这些文件中的每一个以查看密码策略的特定方面。

如果这对您来说太麻烦或者您熟悉 PowerShell，只需使用此命令即可。

Get-ADDefaultDomainPasswordPolicy

您可以看到这样的默认设置。

 

更改密码策略

现在您已经看到了默认值，您可能想要更改它们以适应您组织的策略。要进行更改，请按照上述导航并获取策略的默认值。

• 双击您在右侧窗格中看到的每个设置，这将打开一个显示默认值的窗口。

• 只需更改默认值，按Ok和Apply。

就是这样！进行此更改真的很简单。

了解默认值

到目前为止，我们已经了解了如何查看和更改策略。但是您必须知道这些默认设置的每一个的含义，以便您可以进行所需的更改。那么，让我们来看看每个设置。

• 强制密码历史此设置决定了在您可以重复使用旧密码之前您应该拥有多少个唯一密码。默认设置为 24，这意味着您应该更改密码 24 次才能重复使用第一个密码。这真的很麻烦，所以请为您的用户更改此设置！
• 密码最长使用期限此设置决定您可以使用同一个密码多少天。默认值为 42。
• 密码最短使用期限此设置确定密码必须使用多长时间才能更改。默认值为 1 天。此设置很重要，可确保您不会每天多次更改密码！
• 最小密码长度此设置确定每个密码的最小长度（字符），默认值为 7。这意味着您的密码应至少包含七个字符。
• 使用可逆加密存储密码此设置允许您的操作系统使用可逆加密存储密码。除非您对任何应用程序有特定要求，否则不得更改此设置。
• 密码必须满足复杂性要求每个用户都应该创建满足这些要求的密码。否则，密码将不会被系统接受。默认值是
  • 密码不能有两个连续的用户帐号名或密码名字母。
  • 它应包含以下类别的字符 – 英文大写字符、英文小写字符、从 0 到 9 的数字以及非字母数字字符，例如 !、@、#、*

因此，这些是默认值。您可以根据组织的密码策略或满足其他合规性标准来更改这些值。您还可以考虑使用 CIS 基准密码设置或 Microsoft 推荐的密码设置（如果这对您来说更方便的话）。

总之，更改默认域策略是小菜一碟，我们希望上述步骤在此过程中对您有所帮助。