精细化密码政策概念

本主题介绍精细化密码政策 (FGPP) 的概念和最佳做法。

概览

您可以使用精细化密码政策 (FGPP),针对特定 Active Directory 用户或群组定义和实施安全系数高的密码。请注意,密码政策与默认网域密码政策不同,后者通过组策略进行配置,并且与网域的根目录相关联。

您可以在密码设置对象 (PSO) 中设置 FGPP。每个 PSO 都有一个表示其优先级的优先级值。这个值越小,PSO 的优先级越高。代管式 Microsoft AD 会使用默认设置创建 10 个 PSO。您不能更改这些 PSO 的名称或优先级,但可以更改设置。详细了解预先创建的 PSO

政策设置

每个 PSO 均可包含以下政策设置。

最佳做法

我们推荐如下有关使用 FGPP 的最佳做法。

政策数

您应该在组织中使用 3-5 种不同的密码政策,以最大限度地减少管理开销。密码政策通常仅定义一次,不会频繁更改。

政策间隔

您应该在政策之间留出空间,而不应该使用连续优先级。优先级会影响应用于具有多个政策或嵌套的群组内的一名用户的结果政策,因此这样就可以为未来的更改留出空间。

情况

在我们的示例组织中,有三个群组包含不同的密码政策需求。

  • 经理:限制最严格,高度安全
  • IT 部门:中等
  • 常规:安全性最低,但易用性最高

管理员

以下密码政策设置应该应用于“经理”群组。这是安全性最高的政策,因此它的优先级必须最低为 PSO-10。优先级降低有助于确保,如果一名经理包含在许多个群组中,则对其生效的政策是最严格的政策。

PSO-10 政策设置
已启用复杂度
锁定时长 30 分钟
锁定观察时段 30 分钟
锁定阈值 5
密码最长使用时间 30 天
最小密码长度 16
密码历史记录计数 24

了解如何修改政策以便匹配这些设置,然后将此群组添加到此政策

IT 部门

以下密码政策设置应该应用于 IT 部门。 请注意,系统会跳过 PSO-20 和 PSO-30,以便在日后添加中等政策。

PSO-40 政策设置
已启用复杂度
锁定时长 30 分钟
锁定观察时段 30 分钟
锁定阈值 10
密码最长使用时间 60 天
最小密码长度 10
密码历史记录计数 10

了解如何修改政策以便匹配这些设置,然后将此群组添加到此政策

常规

以下密码政策设置应该应用于“常规”群组。

PSO-80 政策设置
已启用复杂度
锁定时长 30 分钟
锁定观察时段 30 分钟
锁定阈值 15
密码最长使用时间 90 天
最小密码长度 8
密码历史记录计数 10

了解如何修改政策以便匹配这些设置,然后将此群组添加到此政策