下次自动登录
现在的位置:
& 综合 & 正文
更改windows server 2008 域密码复杂性要求策略
在windows server 2008 里变更密码复杂性要求，基本设置和windows server 2003是一样的。具体步骤如下：
Start-&Programs-&Administrative Tools-&Group Policy Management 展开组策略管理器，然后选择Forest-&Domains-&Group Policy Objects-&Default Domain Policy，如下图所示。
接着右键选择Edit，点击Computer Configuration-&Policies-&Windows Settings-&Security Settings-&Password-&Policy，如下图所示：
设置以下几项：
Password must meet complexity requirements（密码必须符合复杂性要求) 设置为disabled,　
Minimun password length(最小密码长度) 设置为0，如果默认用6，则新的密码不能少于6位,
Minimum password age（密码最短使用期限） 改为0，默认是1，也就是说你两个不同密码设置间隔必须是1天,　
Enforce password history (强制密码历史) 改为0 ，默认在域控上时24，独立服务器为0，设置24就是表示设置24次密码不能重复，目的是为了防止用户使用旧密码从而降低系统安全性。
强制密码历史和密码最短使用期限结合使用，要使强制密码历史有效，比如将密码最短使用期限设置为0以上，设置完成后，在start-&run 运行cmd,输入：gpupdate /force 强制刷新组策略，刷新完成后即可重设一个简单密码。
&&&&推荐文章:
【上篇】【下篇】 上传我的文档
 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
Windows Server 2003 & 2008密码不满足策略要求解决方法
下载积分：30
内容提示：Windows Server 2003 & 2008密码不满足策略要求解决方法
文档格式：PDF|
浏览次数：316|
上传日期： 07:04:05|
文档星级：
该用户还上传了这些文档
Windows Server 2003 & 2008密码不满足策略要求解决方
官方公共微信Win2003 安全策略设置_3A站长网
3A站长网信息和服务中心真诚为您服务！
一 设置和管理账户
1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，
密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入
组合的最好不低于20位的密码。
3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，然后禁用。
4、开始-程序-管理工具-本地安全策略，选择
计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，
将账户设为&三次登陆无效&，&锁定时间为30分钟&，&复位锁定计数设为10分钟&。
5、在安全设置-本地策略-安全选项中将&不显示上次的用户名&设为启用 。
6. 本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举 SAM 帐号和共享)
二 网络服务安全管理
1、禁止C$、D$、ADMIN$一类的缺省共享
打开注册表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，
在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0. 注册表不了解.不要随便更改.
2、 解除NetBios与TCP/IP协议的绑定
　　右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
3、关闭不需要的服务，以下为建议选项
开始-所有程序-管理工具-服务
　　 Computer Browser:维护网络计算机更新，禁用
　　 Distributed File System: 局域网管理共享文件，不需要禁用
　　 Distributed linktracking client：用于局域网更新连接信息，不需要禁用
　　 Error reporting service：禁止发送错误报告
　　 Microsoft Serch：提供快速的单词搜索，不需要可禁用
　　 NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用
　　 PrintSpooler：如果没有打印机可禁用
　　 Remote Registry：禁止远程修改注册表
　　 Remote Desktop Help Session Manager：禁止远程协助
　　 Messenger:信使服务(windows2000)
　　 Task Scheduler: 允许程序在指定时间运行(不用计划任务就禁用掉)
　　 TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)&服务以及 NetBIOS 名称解析的支持
注：新上架的服务器已经做过其他安全设置只开以下端口，需要开其他端口可以在。
右击网上邻居-属性-Internet协议（TCP/IP）属性-高级-选项-TCP/IP筛选－属性-TCP端口－添加
你想要开的端口.
　 　 默认开启的端口列表：
　 　FTP:20.21
　　 mail:25.110
　　 Web:80
　　 pcanywhere:5631
　　 远程桌面：不要关闭，否则将无法远程连接)
三 系统安全管理
　　1.对于系统的NTFS磁盘权限设置,C盘只给administrators 和system权限，其他的权限不给，
其他的盘也可以这样设置，这里给的system权限也不一定需要给，
只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。
　　2. Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。
　　3. 另外在c:/Documents and Settings/这里相当重要，
后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，
而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，
这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限.
　　4. net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe
这些文件都设置只允许administrators.system访问.guests禁止访问
四 打开相应的审核策略
　　开始-程序-管理工具-本地安全策略-安全设置-本地策略-审核策略
　　注:windows2003已经开启部分.windows2000没有开启.可以根据实际情况来设置.
　　推荐的要审核的项目是：
　　登录事件 成功 失败
　　账户登录事件 成功 失败
　　系统事件 成功 失败
　　策略更改 成功 失败
　　对象访问 失败
　　目录服务访问 失败
　　特权使用 失败
 |  |  |  |  |  |  |  |  |  |  |  | 
3A网络提供：、、、、、、、
销售电话：400-996-3389
公司地址：江苏省靖江市城北园区山南路18号科技创业大厦6楼 邮编：214500
国家信息产业部网站备案 苏ICP证备号  Copyright(c)
 江苏三艾网络科技有限公司 版权所有
请直接将客服添加为您的QQ好友。IDC客服企业QQ： 号码： 客服工作时间（8：30-23：00）
90106(意见建议)
60813(渠道合作)二次元同好交流新大陆
扫码下载App
汇聚2000万达人的兴趣社区下载即送20张免费照片冲印
扫码下载App
温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
阅读(2034)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_',
blogTitle:'“密码不满足密码策略的要求，检查最小密码长度、密码复杂性和密码历史的要求”的解决办法（Windows 2003 & Windows 2008）',
blogAbstract:'由于域的规约而导致的问题，问题在于密码设定不符合策略组的规约。此时需要到域策略中设置响应选项来降低密码的复杂度。（默认的复杂度需要至少7字符，且包含多个字母和数字）&Windows Server 2003解决办法是：&选择 开始&程序&管理工具&域安全策略&帐户策略&密码策略
密码必须符合复杂性要求：由“已启用”改为“已禁用”；
密码长度最小值：由“7个字符”改为“0个字符”
使此策略修改生效有如下方法：
1、等待系统自动刷新组策略，约5分钟~15分钟 2、重启域控制器（若是修改的用户策略，注销即可） 3、使用gpupdate命令 仅刷新计算机策略：gpupdate/target:computer ',
blogTag:'',
blogUrl:'blog/static/',
isPublished:1,
istop:false,
modifyTime:0,
publishTime:4,
permalink:'blog/static/',
commentCount:0,
mainCommentCount:0,
recommendCount:0,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:false,
hostIntro:'',
hmcon:'0',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
Windows操作系统的域密码策略
关键字：Windows
　企业软件热点文章
　　如果您是Windows 域的管理员，一定会非常清楚域用户帐户的密码策略的相关限制。但随着WindowsServer2008的到来，其中一些限制将不复存在。让我们来这个新将如何解决这样一个问题：不能实现多个密码策略。
　　如果您运行的是 Windows? 域当前的任意版本(Windows NT?、Windows2000ActiveDirectory?或 WindowsServer?2003ActiveDirectory)，就会受到每个域只能有一个密码策略的限制。事实上，对您产生限制的不仅是密码策略，而且还有帐户策略涵盖的范围更广的设置。图1显示了这些策略和设置。
　　Figure 1 Account policies
　　密码策略
　　强制密码历史
　　密码最长使用期限
　　密码最短使用期限
　　最短密码长度
　　密码必须满足复杂性要求
　　使用可逆加密密码
　　帐户锁定策略
　　帐户锁定时间
　　帐户锁定域值
　　重置帐户锁定计数器之前经过的时间...
　　Kerberos 策略
　　强制用户登录限制
　　服务票证最长寿命
　　用户票证最长寿命
　　用户票证续订最长寿命
　　计算机时钟同步的最大容差
　　默认情况下，这些策略设置适用于与域相关联的所有域帐户和用户帐户。这是因为是沿着ActiveDirectory结构向下继承的。为了更好地认识这些策略如何影响域帐户和本地用户帐户，了解以下两点非常重要：这些策略的设置位置，以及组策略的继承方式如何影响所有不同的用户帐户。(请注意，Kerberos策略设置仅适用于域用户帐户，这是因为只有域用户帐户使用Kerberos进行身份验证。本地用户帐户使用NTLMv2、NTLM 或LM 进行身份验证。)
　　设置帐户策略
　　在 Active Directory内部，组策略建立并控制整个域的帐户策略。这是在首次安装ActiveDirectory域时发生的，并且是通过获得链接到 ActiveDirectory 中域节点的默认组策略对象 (GPO)完成的。此GPO名为默认域策略，具有帐户策略的所有三部分的默认配置。图 2显示了 WindowsServer2003域中密码策略项初始设置的完整列表。
　　Figure 2 Default password policies for WindowsServer2003domain(单击该图像获得较大)
　　此GPO中的设置控制所有域用户帐户以及每台域计算机的帐户策略。请记住，所有域计算机(和)都具有本地安全帐户管理器(SAM)，这很重要。此默认GPO中的设置控制的就是这一SAM。当然，本地 SAM 也包含每台计算机的本地用户帐户。
　　通过 GPO 沿着 ActiveDirectory结构向下进行的正常继承，默认域策略中的设置可影响所有域计算机。由于此GPO链接到域节点，所以它将影响此域中的所有计算机帐户。
　　无法对当前密码策略执行的操作
　　关于 Active Directory(在WindowsServer2003中)的当前实现，目前仍存在对密码控制的许多误解，尽管经过了多年的严格测试，也未找到证据证明那些误解是对的。很明显(或应该说)，策略是无法通过设计以外的其他方式起作用的。
　　也就是说，很多管理员都相信，可以为同一域中的多个用户设置多个密码策略。他们认为您可以创建一个GPO，并将其链接到某个组织单位(OU)。该思想是将用户帐户移到OU以使GPO影响这些对象。在GPO内部，对帐户策略进行修改以创建更安全的密码策略(可能是通过将最大密码长度设置为14实现此目的)。但是，由于一些原因，此配置永远达不到期望的结果。首先，密码策略设置是基于计算机而非基于用户的策略。有了这种设置的前提条件之后，设置将永远无法影响用户帐户。其次，修改域用户帐户的帐户策略设置只有一种方法，即在链接到该域的GPO内部进行修改。链接到OU且被配置为更改帐户策略设置的那些 GPO，会修改驻留在 OU 中(或在链接的 OU 的子OU中)计算机的本地 SAM。
　　另一个误解是，在根域(ActiveDirectory林的初始域)中建立的帐户策略设置将向下流动或继承到林中的子域。这同样并非事实，通过这种方式是无法使设置起作用的。链接到域和某个域中OU的GPO不会影响其他域中的对象，即使 GPO 链接到的域是根域也是一样。使 GPO 设置影响其他域中对象的唯一方法是将GPO链接到ActiveDirectory 站点。
　　密码策略的改变
　　可以看到，Windows的当前版本处理用户帐户密码的方式简单直观。这包括一组适用于所有域帐户的密码规则，以及通过链接到ActiveDirectory中域节点的组策略对象来管理帐户策略的方式。随着Windows Server2008的到来，这一切就都被判出局了。
　　Windows Server 2008 以及一同推出的ActiveDirectory基础结构采用了另一种方法。将帐户策略置于GPO中只允许对所有域用户帐户设置一种策略，而现在已将这些设置移到了ActiveDirectory的更深部分。此外，帐户策略也不再基于计算机帐户。现在，您可以让个人用户和用户组来控制其密码限制。对于Windows管理员来说，这是一个全新的概念，毕竟我们长期以来一直在处理计算机帐户的帐户策略。
　　Windows Server 2008 中的帐户策略
　　在 Windows Server2008中，无需使用默认域策略建立帐户策略。实际上，您根本不会使用GPO为域用户帐户创建帐户策略。在 Windows Server2008中，会将您带到 ActiveDirectory中进行修改。具体来说，您将使用一个类似于 ADSIEdit的工具来修改ActiveDirectory对象及其关联的属性。
　　进行此更改的原因是组策略并非针对同一域中的多个密码而设计。在WindowsServer2008中，每个域实现多个密码的功能非常棒，但并非每个人都觉得该功能使用起来很方便。不过，随着时间的推移，用于配置设置的界面将越来越易于访问。现在，您需要采用ActiveDirectory数据库设置工具对系统进行更改。
　　如果您倾向于使用其他方法来修改帐户策略设置，则不必使用ADSIEdit。您可以使用能够访问ActiveDirectory数据库的任何其他 LDAP 编辑工具，甚至可以使用脚本。在WindowsServer2008中实现密码策略后，就需要使用与过去截然不同的方法了。使用新功能意味着您需要考虑哪些用户和组要接受哪些密码设置。
　　您不但要考虑密码长度，还要考虑密码策略设置附带的其他一些限制，包括最短和最长使用期限、历史等。其他注意事项包括如何控制用户锁定策略设置和Kerberos设置。当前的帐户策略设置与在WindowsServer 2008中的ActiveDirectory数据库中配置的帐户策略设置存在一对一关系。但请注意，既然这些策略设置已是ActiveDirectory对象和属性，那么每个策略设置的名称也会与以前不同，这很重要。
　　要实现新密码设置，必须在密码设置容器下创建一个名为msDS-PasswordSettings的密码设置对象(PSO)，该容器的LDAP路径为“cn=PasswordSettings,cn=System,dc=domainname,dc=com”。请注意，域的域功能级别必须设置为WindowsServer2008。在此新对象下，您需要填写若干属性信息，如图3 所示。
　　Figure 3 Password attributes in Active Directory
　　Active Directory 属性名属性描述
　　msDS-PasswordSettingsPrecedence当同一用户在使用不同密码策略的多个组中具有成员资格时，建立优先次序。
　　msDS-PasswordReversibleEncryptionEnabled在是否启用可逆加密之间切换。
　　msDS-PasswordHistoryLength确定中间必须隔有多少个不重复的密码后，才能重用某个密码。
　　msDS-PasswordComplexityEnabled确定密码要求使用的字符数目和字符类型。
　　msDS-MinimumPasswordLength确定最短密码长度。
　　msDS-MinimumPasswordAge确定用户密码最短使用多久后才可更改。
　　msDS-MaximumPasswordAge确定密码最长使用多久后会要求用户更改密码。
　　msDS-LockoutThreshold确定锁定用户帐户前允许的密码尝试失败次数。
　　msDS-LockoutObservationWindow确定密码计数器出现错误后多长时间进行重置。
　　msDS-LockoutDuration确定密码尝试失败次数过多导致帐户锁定后，帐户的锁定时长。
　　可以看到，与帐户策略设置相关的所有组策略设置都会作为属性复制。请注意，还存在一个优先设置;这对于在同一域中实现多个密码至关重要，这是因为必然会产生一些冲突，需要有处理这些冲突的机制。
　　目标帐户策略设置
　　对于创建的每个对象，都需要填写所有的属性才能针对每位用户创建帐户策略。这里有个新属性msDS-PSOAppliesTo，用于确定哪些对象将接收这组策略设置。这是关键属性，通过它可以将特定设置分配给特定用户。此属性下的列表可以是用户也可以是组，但对于建立访问控制列表的情形而言，则最好使用组，而不是用户。因为组更稳定，更容易找到，而且处理起来通常容易得多。
　　起立欢呼
　　数年来，我们一直希望能够在同一ActiveDirectory域中使用多个密码，现在终于实现了。从密码的角度而言，整个域中的每一个用户都处于同一安全级别的情形已经一去不复返了。例如，现在您能够为普通用户设置8个字符的密码，而为IT专业人员(可能具有管理员权限)设置复杂一些的 14 个字符的密码。
　　要想习惯使用ActiveDirectory数据库建立或修改帐户策略设置，会花费一些时间。但值得庆幸的是，新设置仿效了您熟悉的设置。当您开始使用WindowsServer2008后，请务必立即研究这些新设置，因为这些肯定是属于您首先完成的配置。
[ 责任编辑：之极 ]
SAPPHIRE NOW大会为…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte