Windows Server 2022活動目錄管理實踐( 第2版 微課版)-課件項目24 提升林域的功能級別、部署多元密碼策略

24提升林/域的功能級別、部署多元密碼策略林/域功能級別多元化密碼策略目錄林/域功能級別林/域功能級別WindowsServer2003、WindowsServer2008、WindowsServer2012、WindowsServer2016及以上都可以提供活動目錄功能，但不同版本的操作系統(tǒng)的域提供的功能服務(wù)不同，并且高版本OS兼容低版本OS。在活動目錄中，如果域控制器是由多種不同版本的服務(wù)器系統(tǒng)組成，并且低版本OS不支持高版本OS的部分功能，則會導(dǎo)致該域只能以低版本狀態(tài)運行。域和林功能級別提供了一種方式來在“ActiveDirectory域服務(wù)(ADDS)”環(huán)境中啟用全域性或全林性功能。不同的網(wǎng)絡(luò)環(huán)境具有不同級別的域功能和林功能級別。林/域功能級別定義林功能級別定義：林功能級別影響林中的所有域，包括這些域的子域。它決定了林中可以使用的最高功能級別，以及可以在林中的域控制器上運行的WindowsServer操作系統(tǒng)的最低版本。域功能級別定義：域功能級別影響特定的域及其包含的子域。它決定了該域中可以使用的功能和服務(wù)，以及可以在該域的域控制器上運行的WindowsServer操作系統(tǒng)的最低版本。林功能級別重要性林功能級別的提升通常需要謹(jǐn)慎進(jìn)行，因為它會影響到整個林中的所有域。一旦提升，通常不能回滾到較低的功能級別（除非滿足特定條件，如未啟用ActiveDirectory回收站等）。在部署新的林時，系統(tǒng)會提示設(shè)置林功能級別。之后，如果需要，可以根據(jù)需要提升林功能級別。域功能級別與林功能級別的關(guān)系域功能級別不能低于林功能級別，但可以設(shè)置為高于林功能級別的值。這意味著，在某些情況下，可以通過提升域功能級別來啟用特定域中的高級功能，而無需提升整個林的功能級別。域功能級別的提升也需要謹(jǐn)慎進(jìn)行，因為它會影響到域中的所有對象和用戶。一旦提升，通常也不能回滾到較低的功能級別（除非滿足特定條件）。林/域功能級別如果域或林中的所有域控制器運行的都是最新的WindowsServer版本，并且將域和林功能級別設(shè)置為最高值，那么所有的全域性功能和全林性功能都可用。當(dāng)域或林包含運行早期版本的WindowsServer的域控制器時，ADDS功能會受到限制。也就是說，域的功能級別是用于設(shè)定域內(nèi)所有域控制器允許使用的功能，這取決于域內(nèi)工作在最低版本的域控制器的OS級別。因此，如果要采用新的OS提供的域功能，則需要提升域的功能級別，而提升域功能級別的條件是先保障該域的所有域控制器都運行在不低于要提升的域功能級別。功能級別的提升與降級提升：通常，當(dāng)需要啟用活動目錄中的新功能時，會考慮提升林或域的功能級別。這通常涉及到將域控制器升級到支持更高功能級別的WindowsServer版本，并手動或自動完成功能級別的提升過程。降級：在大多數(shù)情況下，林或域的功能級別一旦提升，就不能直接回滾到較低的功能級別。但是，在某些特定情況下（如未啟用ActiveDirectory回收站等），可能允許將功能級別降級到較低的版本。林/域功能級別域功能級別和林功能級別的提升需要手動完成。啟用域功能會影響整個域，以及僅影響該域的功能。域功能級別及其相應(yīng)支持的域控制器如表所示。域/林功能級別支持的域控制器操作系統(tǒng)WindowsServer2003WindowsServer2003WindowsServer2008WindowsServer2008R2WindowsServer2008WindowsServer2008WindowsServer2008R2WindowsServer2012WindowsServer2012R2WindowsServer2016WindowsServer2019WindowsServer2022表

域/林功能級別林/域功能級別域功能級別和林功能級別的提升需要手動完成。啟用域功能會影響整個域，以及僅影響該域的功能。域功能級別及其相應(yīng)支持的域控制器如表所示。域/林功能級別支持的域控制器操作系統(tǒng)WindowsServer2008R2WindowsServer2008R2WindowsServer2012WindowsServer2012R2WindowsServer2016WindowsServer2019WindowsServer2022WindowsServer2016WindowsServer2016WindowsServer2019WindowsServer2022表

域/林功能級別林/域功能級別域功能級別和林功能級別的提升需要手動完成。啟用域功能會影響整個域，以及僅影響該域的功能。域功能級別及其相應(yīng)支持的域控制器如表所示。注：如果要詳細(xì)了解各域/林功能級別所啟用的，功能可以參考微軟官方網(wǎng)站/。域/林功能級別支持的域控制器操作系統(tǒng)WindowsServer2012WindowsServer2012WindowsServer2012R2WindowsServer2016WindowsServer2019WindowsServer2022WindowsServer2012R2WindowsServer2012R2WindowsServer2016WindowsServer2019WindowsServer2022表

域/林功能級別多元化密碼策略密碼策略1.密碼復(fù)雜性要求字符類型：密碼應(yīng)包含大寫字母、小寫字母、數(shù)字和特殊字符的組合。長度：密碼必須達(dá)到一定的長度，通常是8個字符或更長，但可以根據(jù)需要進(jìn)行調(diào)整。禁用常見或易猜密碼：避免使用常見的單詞、短語、用戶名、部分或全部個人信息等作為密碼。密碼策略2.密碼使用期限最長使用期限：定義用戶必須更改密碼的時間間隔，例如每90天。最短使用期限：在用戶可以更改其密碼之前必須保持密碼的時間長度，通常設(shè)置為0或較短的時間，以防止用戶立即更改回舊密碼。密碼策略3.賬戶鎖定策略無效登錄嘗試次數(shù)：定義在帳戶被鎖定之前允許的錯誤密碼嘗試次數(shù)。帳戶鎖定時間：帳戶被鎖定后保持鎖定的時間長度。重置帳戶鎖定計數(shù)器：定義在帳戶自動解鎖之前必須等待的時間（如果啟用了此功能）。多元化密碼策略的概念域控制器的安全性非常重要，而域管理員密碼的保護(hù)是安全性保護(hù)中很重要的一環(huán)。通過制定復(fù)雜性密碼策略，可以減少人為的和來自網(wǎng)絡(luò)的安全威脅，保障活動目錄的安全。在活動目錄中，在默認(rèn)情況下，一個域只能使用一套密碼策略，這套密碼策略由“DefaultDomainPolicy”進(jìn)行統(tǒng)一管理。統(tǒng)一的密碼策略雖然可以大幅度提高安全性，但是也會提高域用戶使用的復(fù)雜度。例如，域管理員的賬戶安全性要求很高，密碼需要一定長度，每兩周需要更改一次密碼，并且不能使用上次的密碼；但是普通域用戶并不需要如此高的密碼策略，也不希望經(jīng)常更改密碼，復(fù)雜度很高的密碼策略并不適合他們。主要特點靈活性能夠針對不同用戶或全局安全組應(yīng)用不同的密碼策略，滿足不同用戶的安全需求。精細(xì)控制可以對密碼策略的各個方面進(jìn)行精細(xì)控制，如密碼長度、復(fù)雜度、有效期等。優(yōu)先級管理當(dāng)多個密碼策略應(yīng)用于同一用戶或組時，可以通過設(shè)置優(yōu)先級來決定哪個策略優(yōu)先生效。應(yīng)用限制多元化密碼策略只能應(yīng)用于活動目錄中的用戶和全局安全組，而不能直接應(yīng)用于組織單元（OU）或計算機對象。部署要求域控制器版本所有域控制器都必須是WindowsServer2008或更高版本。域功能級別當(dāng)前域功能級別必須為WindowsServer2008或更高。管理工具通常需要使用ADSIEdit或LDIFDE等高級管理工具來創(chuàng)建和管理多元化密碼策略。多元化密碼策略為了解決這個問題，從WindowsServer2008R2開始，Windows引入了多元密碼策略（Fine-GrainedPasswordPolicy）的概念。多元密碼策略允許針對不同用戶或全局