电脑技术学习

精通Windows Server 2008 多元密码策略之PowerShell篇(图)

dn001
在上两篇文章《精通Windows Server 2008 多元密码策略之ADSIEDIT篇》和《精通Windows Server 2008 多元密码策略之LDIFDE篇》中我向大家介绍了如何通过ADSIEDIT工具、活动目录用户和计算机管理单元和LDIFDE命令行工具创建、管理密码设置对象PSO。在这篇文章中,我将向大家展示如何使用Quese公司出品的针对AD管理的PowerShell来实现、管理多元密码策略。

  按照惯例,为了让大家在操作的时候有一个清晰的思路,我将主要的操作步骤写出来:

  步骤 1:创建 PSO

  步骤 2:将 PSO 应用到用户和/或全局安全组

  步骤 3:管理 PSO

  步骤 4:查看用户或全局安全组的结果 PSO

  步骤5:验证结果

  注:由于通用性和重复性,有些步骤不一定会演示出来,请参考前面的文章。

  实战

  Ⅲ. PowerShell

  步骤1:创建PSO

  1.

  在正式开始前还需要做一点准备工作。请确保2008服务器添加了Windows Power Shell功能。另外,请到Quest网站下载powershell管理包并安装。http://www.quest.com/powershell/activeroles-server.aspx。如果你懒得去找,那么可以从如下地址下载,不过我不保证以后这个地址不失效或者有新版本推出没有更新:

  32位:

  http://www.quest.com/Quest_Download_Assets/individual_components/ManagementShellforActiveDirectory32bit_11.msi

  64位:

  http://www.quest.com/Quest_Download_Assets/individual_components/ManagementShellforActiveDirectory64bit_11.msi

  2.

  在所有程序里面找到并打开安装的ActiveRoles Management Shell for Active Directory。

  3.

  输入如下cmdlet创建一个PSO,如图1.创建好后,可以使用Get-QADPasswordSettingsObject查看当前AD内的PSO。

  New-QADPasswordSettingsObject

  -Name 'AdminPSO' -Precedence 1

  -ReversibleEncryptionEnabled:$FALSE

  -PasswordHistoryLength 3

  -PasswordComplexityEnabled:$TRUE

  -MinimumPasswordLength 16

  -MinimumPasswordAge (new-timespan -days -0)

  -MaximumPasswordAge (new-timespan -days -14)

  -LockoutThreshold 3

  -ResetLockoutCounterAfter (new-timespan -days -0 -hour -0 -minute -30)

  -LockoutDuration (new-timespan -days -0 -hour -0 -minute -30)

  -AppliesTo winospsogroup

精通Windows Server 2008 多元密码策略之PowerShell篇 图1

  4.

  可以使用Get-QADPasswordSettingsObject cmdlet来查看当前存在的PSO。如图2.

精通Windows Server 2008 多元密码策略之PowerShell篇 图2

  步骤 2:将 PSO 应用到用户和/或全局安全组

  在步骤1中,我们已经通过使用Net-QADPasswordSettingsObject的-AppliesTo参数将PSO应用到了安全组PSOGroup上。如果想通过cmdlet修改链接至lisi用户身上,运行如下命令,如图3所示:

  Add-QADPasswordSettingsObjectAppliesTo "AdminPSO" -AppliesTo winoslisi

精通Windows Server 2008 多元密码策略之PowerShell篇 图3

  步骤 3:管理 PSO

  目前该版本的cmdlet在对查看和修改 PSO 设置、修改 PSO 优先级、删除PSO等管理还没有直接的cmdlet命令集来支持。如有需要,请查看前面的文章。期待在以后版本中能完善该功能。不过个人感觉即便完善了,在ADUC里面更改仍具有不可比拟的便捷性。

  步骤 4:查看用户或全局安全组的结果 PSO

  请参考前面的文章,此处略。

  步骤5:验证结果

  请参考前面的文章,此处略。

  结束语

  在这篇文章中,我向大家演示了如何通过Quest的Powershell cmdlet来管理多元密码策略。由于产品本身设计原因以及很多操作在GUI界面中更具备便捷性,所以我就没有进行过多的演示。在下一篇文章,也是最后一篇文章中,我将向大家隆重介绍如何使用老外开发的图形界面工具FGPP来实现、管理多元密码策略

标签: