(10).msDS-LockoutDuration,设置帐户锁定时间为0:00:30:00(30分钟)。
这样,一个自定义的密码和帐户锁定就创建完成了,那么如何应用在具体的某些帐户上呢?还需要进行如下操作。退回到ADSI编辑器窗口找到刚才创建的fr-pso帐户密码策略对象并双击打开,拖动滑竿找到并选中msDS-PSOAppliesTo属性,点击下面的“编辑”按钮在弹出的对话框中点击“添加Windows帐户”按钮,通过向导将frs全局用户组添加进来,最后“确定”即可。这样,就将刚才创建的名为fr-pso帐户密码策略赋予frs组中的用户了。当然,还可以通过添加更多的用户或者用户组。在实际应用中大家可以根据需要,定制不同的密码策略然后将其赋予特定的用户或者组。(图5)
图5 添加特定用户
为了验证效果,我们可以做个策略,首先打开“组策略管理编辑”将Default Domain Policy(默认策略)下的“帐户策略”中的“密码策略”进行修改:警用“密码必须符合复杂性要求”,密码长度最小值更改“3个字符”,接着在命令下输入gpupdate /force更新组策略。下面将ctocio的帐户的密码更改为123,可以看到命令成功完成。然后我们将ctocio加入frs组,输入同样的命令修改其密码为123,可以看到提示“密码不满足密码策略的要求。检查最小密码长度、密码复杂性和密码历史的要求。”,说明我们创建的帐户及其密码策略生效了。(图6)
图6 将CTOCIO加入frs组
域环境下,在AC中部署的策略就相当于整个域中至高无上的法则,善用域策略将帮我们解决很多问题。除了上面例子外,Windows Server 2008的组策略在整个域中进行软件分发、网络打印机部署、安全管理等方面发挥着巨大的作用。
