密碼原則
適用於: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
此安全性原則參考主題的 it 專業人員概略的密碼原則適用於 Windows 和每個原則設定的資訊連結。
在許多作業系統,來驗證使用者的身分識別最常見的方法是使用複雜密碼。 安全的網路環境需要所有使用者使用強式密碼,進而有至少為八個字元,而且包含字母、 數字和符號的組合。 這些密碼可協助防止使用者帳戶和系統管理帳戶未授權使用手動方法或自動化的工具來猜測弱式密碼的使用者損害。 定期變更的強式密碼可降低密碼成功攻擊的可能性。
中導入 Windows Server 2008 R2 和 Windows Server 2008, ,Windows 支援更細緻的密碼原則。 這項功能提供一種方式來定義不同的密碼和帳戶鎖定原則的不同使用者集合的網域中的組織。 在 Windows 2000 Server 和 Windows Server 2003 Active Directory 網域中,只有一個密碼原則和帳戶鎖定原則可套用至網域中的所有使用者。 更細緻的密碼原則只能套用到使用者物件 (或 inetOrgPerson 物件如果不用來取代使用者物件) 與全域安全性群組。
若要將更細緻的密碼原則套用至 OU 的使用者,您可以使用陰影群組。 陰影群組是邏輯上對應至 OU,以強制執行更細緻的密碼原則的通用安全性群組。 您將 OU 的使用者新增為新建立之陰影群組的成員,然後為此陰影群組套用更細緻的密碼原則。 您可以視需要其他 ou 建立其他陰影群組。 如果您將使用者從一個 OU 移動到另一個時,您必須更新對應的陰影群組的成員資格。
更細緻的密碼原則包括可以 (Kerberos 設定除外) 的預設網域原則中定義的所有設定的屬性,除了帳戶鎖定設定。 當您指定更細緻的密碼原則時,您必須指定所有的這些設定。 根據預設,只有 Domain Admins 群組的成員可以設定更細緻的密碼原則。 不過,您也可以將設定這些原則的能力委派給其他使用者。 網域必須至少執行 Windows Server 2008 R2 或 Windows Server 2008 使用更細緻的密碼原則。 更細緻的密碼原則不能直接套用到組織單位 (OU)。
更細緻的密碼原則不會干擾您可能使用相同的網域中的自訂密碼篩選器。 自訂密碼篩選器部署到執行 Windows 2000 Server 或 Windows Server 2003 網域控制站的組織可以繼續使用那些密碼篩選器來強制執行額外的密碼限制。 如需更細緻的密碼原則的詳細資訊,請參閱 AD DS︰ 更細緻的密碼原則。
您可以強制使用強式密碼,透過適當的密碼原則。 密碼原則設定可控制的複雜性和存留期的密碼,例如 密碼必須符合複雜性需求 原則設定。
您可以使用您的網域控制站上的 [群組原則管理主控台,在下列位置設定的密碼原則設定︰
電腦設定 \windows 設定 \ 安全性設定帳戶原則 \ 密碼原則
如果個別群組需要不同的密碼原則,這些群組應該分隔到另一個網域或樹系中,根據其他需求。
設定安全性原則的相關資訊,請參閱 如何設定安全性原則設定。
下列主題提供的密碼原則實作和最佳作法的考量、 原則位置、 預設值為伺服器類型] 或 [GPO] 相關的作業系統版本、 安全性考量 (包括潛在的弱點,每個設定)、 因應對策,您可以採取,可能會影響每個設定差異的討論。