Windows 2008 R2域控下修改密码策略

Windows 2008在域中不能更改密码策略当我们把计算机加入到域中后,我们的计算机就会受到域的统一管理,而server系统作为服务器系统,它的安全系数很高,比如它的密码要求是强密码,要使用特殊字符组成的字符串作为密码,而且长度也有限制.但我们加入域中的计算机的密码希望是简单一些的,这时候我们就需要更改域中的密码策略来实现.具体做法就是:打开“本地策略编辑器”----“windows设置”------“安全设置”-------“账户策略”------“密码策略”,然后就可以根据自己的需要来进行更改了.但是当我们点击任何一项来进行更改时我们会发现,它们的属性都是不可编辑的,这是怎么回事呢?原因是我们更改的是本地的策略,而此时的计算机是在域中,收到域的管理的.所以要想将这个问题解决掉,我们必须在域中来进行更改.这样才能解决我们的问题.具体做法如下:1.安装gpmc（server2008自带的,我们只要简单的安装就好了）,步骤为：方案一：使用服务器管理器用户界面安装gpmc：a.单击“开始”，然后指向“管理工具”。

单击“服务器管理器”。

b.在控制台树中，单击“功能”。

在“功能”窗格中，单击“添加功能”。

c.在“添加功能向导”对话框中，从可用功能列表中选择“组策略管理控制台”。

单击“安装”。

d.安装完成后，关闭“服务器管理器”.方案二:使用命令行安装gpmc:a.以管理员身份打开命令提示符。

b.在命令提示符下键入ServerManagerCmd -install gpmc。

c.安装完成后关闭命令提示符。

2.安装好gpmc后,我们windows+R打开运行窗口,输入gpmc.msc,然后就会弹出“组策略管理控制台”;3.编辑里头的[组策略对象]→default domain policy即可,在这里有对应的密码策略,我们更改即可;4.以管理员身份运行dos窗口,输入“gpupdate /force”强制更新策略.5.关闭所有的相关窗口,现在你的密码策略已经设置成功了.你可以使用“gpedit.msc”打开本地策略查看,现在你的策略已经更改好了.。

Windows Server 2008 R2常规安全设置及基本安全策略比较重要的几部1.更改默认administrator用户名，复杂密码2.开启防火墙3.安装杀毒软件1)新做系统一定要先打上补丁2)安装必要的杀毒软件3)删除系统默认共享4)修改本地策略——>安全选项交互式登陆：不显示最后的用户名启用网络访问：不允许SAM 帐户和共享的匿名枚举启用网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用网络访问：可远程访问的注册表路径和子路径全部删除5)禁用不必要的服务TCP/IP NetBIOS Helper、Server、Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation6)禁用IPV6server 2008 r2交互式登录: 不显示最后的用户名一、系统及程序1、屏幕保护与电源桌面右键--〉个性化--〉屏幕保护程序，屏幕保护程序选择无，更改电源设置选择高性能，选择关闭显示器的时间关闭显示器选从不保存修改2、配置IIS7组件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite环境。

在这里我给大家可以推荐下阿里云的服务器一键环境配置，全自动安装设置很不错的。

点击查看地址二、系统安全配置1、目录权限除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限2、远程连接我的电脑属性--〉远程设置--〉远程--〉只允许运行带网络超级身份验证的远程桌面的计算机连接，选择允许运行任意版本远程桌面的计算机连接(较不安全)。

备注：方便多种版本Windows远程管理服务器。

windows server 2008的远程桌面连接，与2003相比，引入了网络级身份验证（NLA，network level authentication)，XP SP3不支持这种网络级的身份验证，vista跟win7支持。

windowserver2008r2在activedirectory域中不能更改服务器密码策略Window Server 2008 R2 在Active Directory域中不能更改服务器密码策略服务器上新安装Window Server 2008 R2操作系统后，采用的是默认的密码策略，设了密码的最长使用时间。

没有安装Active Directory域之前，密码到期了只会提示一下，但安装Active Directory后，需要重启服务器，重启后就直接要求改密码，不然不让登录，并且新密码不能和旧密码一致，新密码必须很复杂，还有最小位数的要求。

这些都是密码策略的限制。

本来在“管理工具>> 本地安全策略>> 帐户策略>> 密码策略”里面可以设置这些内容，但安装了Active Directory域之后，这里的设置就都变成灰色了，各个属性都是不可编辑的。

原因是我们更改的是本地的策略，而此时的计算机是在域中，受到域的管理。

故如果要修改密码策略，必须在“管理工具>> 组策略管理”里面修改，修改之后再查看“本地安全策略”的“密码策略”，发现这里显示的已经是修改后的设置了。

具体步骤如下：1、打开“组策略管理”界面：管理工具>> 组策略管理，如果找不到该功能，则需要先安装，在“服务管理器”里面“添加新功能”。

2、依次打开“林”>>“域”>> “组策略对象”>> "Default Domain Policy" 。

3、右键"Default Domain Policy"，选择“编辑”，找到“密码策略”,如下图。

Server 2008 R2 在Active Directory域中不能更改服务器密码策略" name="image_operate_62981340184646923"alt="Window Server 2008 R2 在Active Directory域中不能更改服务器密码策略"src="/DownloadImg/2015/04/0111/5 1862959_2" width="288" height="447"action-type="show-slide"action-data="http%3A%2F%%2Fmiddle%2F4 e1f3c89gc2e4021edfcc%26690"real_src="/DownloadImg/2015/04/0 111/51862959_2">4、双击各个属性设置，修改相应的策略。

关于“密码不满足密码策略的要求，检查最小密码长度、密码复杂性和密码历史的要求”的解决办法（Windows 2003 & Windows 2008）由于域的规约而导致的问题，问题在于密码设定不符合策略组的规约。

此时需要到域策略中设置响应选项来降低密码的复杂度。

（默认的复杂度需要至少7字符，且包含多个字母和数字）Windows Server 2003解决办法是：& L% A$ ]- e+ G" M' p: a# `选择开始>程序>管理工具>域安全策略>帐户策略>密码策略密码必须符合复杂性要求：由“已启用”改为“已禁用”；密码长度最小值：由“7个字符”改为“0个字符”使此策略修改生效有如下方法：1、等待系统自动刷新组策略，约5分钟~15分钟2、重启域控制器（若是修改的用户策略，注销即可）0 `# F' l2 a; W- a3 x7 l3、使用gpupdate命令仅刷新计算机策略：gpupdate/target:computer : M8 V) p# G0 Z5 g; B5 r, g' q仅刷新用户策略：gpupdate/target:user二者都刷新：gpupdateWindows Server 2008不一样的是, 管理员不能从本地策略组中将其密码策略修改, 而需要从GPM(Group Policy Management)"组策略管理器"中进行修改. 步骤如下:. q" y* D) m& ^2 F! KWindows Server 2008中, 打开GPM(Group Policy Management)方法: 依次选择start(开始)->Administrator Tools(管理者工具)->Group Policy Management(组策略管理器)->Run as administrator/Open(使用管理员权限打开)' |% H& Q# @0 m7 C1 k2 E1 p, @: @! l5 l: f开启GPM之后, 依次展开树状节点:- [: Q8 S; @" \3 Y6 B& kForest: [YOUR DOMAIN NAME(你的域名)]->domain(域)->[YOUR DOMAIN NAME(你的域名)]->Group Policy Object(组策略对象). 右键点击Default Domain Policy(默认域策略), 选择Edit(编辑)- E. E. _% B' ^0 T; h& O6 i% ^ Y z以上操作后将打开Group Policy Management Editor(组策略管理器)对话框, 依次展开树状节点: Computer Configuration(计算机配置)->Windows Settings(Windows设置)->Security Settings(安全设置)->3 x2 U! q! ?6 \5 R) L U7 u0 PAccount Policy(允许策略)->Password Policy(密码策略) 可以看到关于密码的策略设定, 只要将倒数第二项: Password must meet complexity requirments(密码复杂度)项目设成disable即可. 其余的策略因情况而设定.: C R1 \8 m( i p& t# Z最后选择start->run(运行), 输入gpupdate强制更新组策略设置.等待命令行结束之后即可完成.。

在Windows Server 2008系统中默认情况下登录密码必须足够复杂，英文、数字、特殊符号缺一不可，而且一段时间后必须更改一次密码。

这样有效提升了Windows Server系统的安全性，对于服务器来说这可能是必须的，但对于我们在普通PC上安装Server 2008来进行测试或当桌面使用的用户来说，也增加了不少的麻烦。

解除这种麻烦的方法就是在密码策略里禁用复杂密码，操作如下：gpedit.msc计算机配置－Windows设置－安全设置－帐户策略－密码策略让我们看下密码策略的几个具体策略：在图中显示的六条策设置中，密码必须符合复杂性要求禁用密码最长使用期限 <N>复杂密码禁用之后，再给密码使用期限设一个比较大的数字，这样就可以随意设置我们所熟悉、方便记忆的密码了。

其实这是一个有历史的密码策略，喜欢受虐的朋友甚至于可以在Windows XP系统中启用。

之所以提到这个策略是因为经历过忘记密码的事情，个人认为普通用户没必要使用过分严格的密码规则。

故事一则：在当年我第一次安装Windows Server 2008时，系统提示我输入管理员密码，使随手输入了我常用的一组（数字＋字母），我使用这组密码的时间和我的网龄一样长，论坛、邮箱、MSN、QQ等均统一为该组合。

结果系统不让我用，无耐之下就又加了一位特殊符号，系统装完之后，这个只改动了一位的密码一直相安无事。

可是一个多月后的一天，系统提示我密码过期必须更改，输入原来的密码，系统不让用了，更改为我常用的密码又不符合规则，不输密码，不让进系统。

最后终于想到个“字母＋数字＋特殊符号”的密码进入了系统，本以为自己记住了这个密码，没想到隔天再开电脑时，望着密码框绝望了。

直到今天我始终没想起来，那天设的是个什么密码。

所以后来我在每次装完Windows Server 2008之后第一件事就是改密码策略，用我最熟悉的密码。

我没有创建密钥盘的习惯，希望各位朋友不要碰上与我类似的事情，Windows Server 2008的密码可不是好破解的，据说MDOP工具包里有程序可以破解，了解的朋友希望能不吝赐教！。

Windows Server 2008 R2 之十三颗粒化密码策略相对于以前的活动目录只提供一种密码和帐号锁定策略的状态，Windows Server 2008提供更为灵活的Fine Gained Password(粒化密码策略)。

它能够让我们在一个域中指定多个密码策略，能够使用Fi ne-grained 密码策略来将不同的密码和账号锁定策略应用到域中不同集合的用户。

要存储Fine-grained 密码策略，Windows Server 2008 在活动目录目录服务架构中包含了两个新的对象：1、Password Settings Container（密码设置容器）2、Password Settings（密码设置）Password Settings Container （PSC）在缺省情况下被创建在域的System 容器中。

可以通过活动目录用户和计算机管理工具，选种高级特性选项来查看它。

它存储域的Password Settings objec ts (PSOs) 。

我们不能重命名、移动或删除该容器。

尽管您可以创建额外的自定义的PSCs ，它们不会被考虑当策略的结果集在计算对象的时候。

因此，这也不是推荐的做法。

PSO 的属性的设置能够在Default Domain Policy（除Kerberos设置外）中设置。

这些设置包括下面这些密码设置属性：1、Enforce password history（强制密码历史）2、Maximum password age（密码最长使用期限）3、Minimum password age（密码最短使用期限）4、Minimum password length（密码最短长度）5、Passwords must meet complexity requirements（密码必须符合复杂性）6、Store passwords using reversible encryption（用可还原的加密来储存密码）这些设置也包含下面这些账号锁定设置属性：1、Account lockout duration（密码锁定时间）2、Account lockout threshold（密码锁定阀值）3、Reset account lockout after（复位帐号锁定计算器）此外，PSO还有下面两个新的属性：1、PSO link（PSO链接）。

密码是系统安全一道关键屏障，大家知道在在Windows2000/2003上，密码策略只能指派到域(Site)上，不能单独应用于活动目录中的具体对象。

这在实际应用中带来了诸多不便，更多情况下我们需要为不同组的用户部署不同的密码策略和帐户策略。

在Win2008中引入了多元密码策略的技术，使得我们的上述需求得到实现。

还是在AC中(以域为例)，“开始→运行”输入ADSIEdit 打开ADSI编辑器。

依次展开“默认命名上下文[]→DC=fr,DC=zhongtian,DC=com→CN=System”定位到CN=Password Settings Container;然后在该节点上单击右键选择“新建→对象”在弹出的对话框中选中“msDS-PasswordSettings”类别，单击“下一步”在cn属性对话框中输入“值”为“fr-pso”(任意)。

然后一路“下一步”依据向导进行密码策略的定制。

其具体的设置项、含义和值分别为：(1).msDS-PasswordSettingsPrecedence，设置密码策略的优先级，数值越小优先级越高，设置为“10”;(2).msDS-PasswordReversibleEncryptionEnabled，设置是否启用“用可还原的加密来存储密码”策略，其值是个布尔值，可选择FALSE或者TRUE，在此我们设置为“FALSE”;(3).msDS-PasswordHistoryLength，对应组策略中的“强制密码历史”，可选范围是0-1024，我们设置为12;(图3)图3 密码历史(4).msDS-PasswordComplexityEnabled，对应组策略中的“密码必须符合复杂性要求”，也是一个布尔值，我们设置为“TRUE”;(5).msDS-MinimumPasswordLength，设置密码长度最小值为10;(6).msDS-MinimumPasswordAge，设置密码最短使期限为1:00:00:00(1天);(7).msDS-MaximumPasswordAge，设置密码最常使用期限为20:00:00:00(20天);(8).msDS-LockoutThreshold，设置帐户锁定阀值为3(可以范围0-65535);(9).msDS-LockoutObservationWindow，设置复位帐户锁定计数器为0:00:30:00(30分钟);(图4)图4 帐户锁定计数器(10).msDS-LockoutDuration，设置帐户锁定时间为0:00:30:00(30分钟)。