服务器在线外电:5月15日,Microsoft在其年度WinHEC大会上透露,该公司为把Longhorn服务器版加入了一项密码策略管理特性,使得管理员在分配用户和用户组策略时不用考虑他们所处的域。
Longhorn的密码策略控制是一个管理特性,它的设计目的是使管理员在为终端用户分配密码规则时的操作变得更简单、更具灵活性。
目前,在Windows 2000 和Windows 2003的活动目录域中,密码策略和账户锁定策略是应用到域中的所有用户,这个策略使用活动目录缺省的域策略。
这一限制意味着,如果在一个活动目录域中从高级用户到那些即使只需要访问Web的普通用户都会遵循同一个密码策略。
“新加入的特性解决了这个棘手的问题。” Ward Ralston说,它是Microsoft公司资深产品技术经理。他说,用户不会再担心在不同的地方来维护密码策略和根据密码策略来划分用户。
随着新的Longhorn密码策略的到来,管理员将使用活动目录服务接口(简称:ADSI)来创建活动目录密码对象。这个对象会被指派到一个用户或者用户组。这个策略需要用户建立基于规则的密码,包括:多久密码必须被升级。
Microsoft同时表示,这个策略不会干扰那些在域内为了增强密码安全而所作的一些额外限制。该策略控制只能被域管理员来设置和修改,他们还可以删除其它管理员控制这个策略的权限。
这个密码策略在活动目录域架构中增加了两个对象类:密码设置容器(Password Settings Container)和密码设置( Password Settings)。
密码设置容器在域中的系统容器中缺省被创建,它存储密码设置对象(PSO)。
PSO包括六项密码设置:强制密码历史,密码最长存留期,密码最短存留期,最短密码长度,密码复杂性和可还原加密存储;包括三个锁定设置:账户锁定时间,账户锁定阈值,复位账户锁定计数器;还包含两个新的属性:PSO连接,它是一个可设为多值的属性,管理员用它来连接用户或者组对象。优先权特性,如果多个PSO应用到同一个用户或组对象时就由它来仲裁这种冲突。
新策略需要用户为这9个PSO的设置和属性来赋值,同时阻止管理员合并多个PSO。
如果客户没有建立新的策略,默认的域策略设置将会被应用到域内的所有用户,就像在Windows 2000 和Windows 2003中一样。
