密码策略

适用范围

Windows 的密码策略概述，以及指向每个策略设置的信息的链接。

在许多操作系统中，对用户标识进行身份验证的最常见方法是使用密码或密码。 安全网络环境要求所有用户使用强密码，该密码至少包含 8 个字符，并且包含字母、数字和符号的组合。 这些密码有助于防止未经授权的用户使用手动方法或自动化工具猜测弱密码的用户帐户和管理帐户。 定期更改的强密码可降低成功密码攻击的可能性。

Windows 在 Windows Server 2008 R2 和 Windows Server 2008 中引入，支持精细密码策略。 此功能为组织提供了一种为域中不同用户组定义不同密码和帐户锁定策略的方法。 细化密码策略仅适用于用户对象 (或 inetOrgPerson 对象，而不是) 和全局安全组的用户对象。 有关详细信息，请参阅 AD DS Fine-Grained密码和帐户锁定策略分步指南。

若要对 OU 的用户应用细化密码策略，可以使用影子组。 影子组是一个全局安全组，在逻辑上映射到 OU 以强制实施精细密码策略。 将 OU 的用户添加为新创建的影子组的成员，然后将细化密码策略应用于此影子组。 可以根据需要为其他 OU 创建其他阴影组。 如果将用户从一个 OU 移动到另一个 OU，则必须更新相应阴影组的成员身份。

细化密码策略包括可在默认域策略中定义的所有设置的属性 (除 Kerberos 设置) 帐户锁定设置外。 指定细化密码策略时，必须指定所有这些设置。 默认情况下，只有域管理员组的成员可以设置细化的密码策略。 但是，还可以将设置这些策略的功能委托给其他用户。 域必须至少运行 Windows Server 2008 R2 或 Windows Server 2008 才能使用细化密码策略。 细化密码策略不能直接应用于组织单位 (OU) 。

可以通过适当的密码策略强制使用强密码。 有一些密码策略设置可以控制密码的复杂性和生存期，例如 密码必须满足复杂性要求 策略设置。

可以使用 组策略 管理控制台在以下位置配置密码策略设置：

计算机配置\Windows 设置\安全设置\帐户策略\密码策略

此组策略在域级别应用。 如果单个组需要不同的密码策略，请考虑使用细化的密码策略，如上所述。

以下主题介绍了密码策略实现和最佳做法注意事项、策略位置、服务器类型或 GPO 的默认值、操作系统版本的相关差异、安全注意事项 (包括每个设置) 的可能漏洞、可以采取的对策以及每个设置的潜在影响。