1. 在“contoso.com 属性”页上,单击以突出显示“Domain Password Policy”,然后单击“向上”按钮。 2. 在“contoso.com 属性”页上,右键单击“Domain Password Policy”,然后单击“禁止替代”。
“contoso.com 属性”页应该如图 2 所示。
图 2. 设置 GPO 优先级
要定义密码使用策略,请按照以下步骤操作:
1. 在“contoso.com 属性”页上,双击“Domain Password Policy”。
2. 在“组策略对象编辑器”的“计算机配置”下面,依次展开“Windows 设置”、“安全设置”和“帐户策略”,然后
单击“密码策略”。
3. 在详细信息窗格中,双击“强制密码历史”,选择“定义这个策略设置”复选框,将“保留密码历史”值设置为
“24”,然后单击“确定”。
4. 在详细信息窗格中,双击“密码最长使用期限”,选择“定义这个策略设置”复选框,将“密码过期时间”值设置
为“42”,单击“确定”,然后单击“确定”接受“密码最长使用期限”的建议更改值。
5. 在详细信息窗格中,双击“密码最短使用期限”,将“在以下天数后可以更改密码”值设置为 2,然后单击“确
定”。
6. 在详细信息窗格中,双击“密码长度最小值”,选择“定义这个策略设置”复选框,将“密码必须至少是”值设置
为“8”,然后单击“确定”。
7. 在详细信息窗格中,双击“密码必须符合复杂性要求”,选择“在模板中定义这个策略设置”复选框,选择“已启
用”,然后单击“确定”。
8. 在详细信息窗格中,双击“用可还原的加密来储存密码”,选择“在模板中定义这个策略设置”复选框,选择“已
禁用”(默认),然后单击“确定”。设置应该如图 3 所示。
图 3. 确认域密码策略 查看大图
若要求使用密码保护屏幕保护程序,请按照以下步骤操作:
1. 在“组策略对象编辑器”中,折叠“计算机配置”,在“用户配置”下面,展开“管理模板”,展开“控制模板”,然
后单击“显示”。
2. 可选设置:在详细信息窗格中,双击“可执行的屏幕保护程序的名称”,选择“已启用”,键入“scrnsave.sc”
作为“可执行的屏幕保护程序的名称”,然后单击“确定”。
注意:定义可执行的屏幕保护程序的名称是出于性能考虑而在此定义的一项可选设置。在提供核心计算服务的 Windows Server 2003 中,如果启用屏幕保护程序,则可能会占用不必要的处理能力,因此限制了组织计算所需的可用资源。如果在服务器上部署屏幕保护程序,强烈建议您使用空白屏幕保护程序
(scrnsave.scr)。您可以考虑在“Domain Controllers”容器下面再创建一个 GPO 以定义“可执行的屏幕保护程序的名称”设置。
3. 在详细信息窗格中,双击“密码保护屏幕保护程序”,选择“已启用”,键入“scrnsave.scr”作为“可执行的屏
幕保护程序的名称”,然后单击“确定”。设置应该如图 4 所示。
图 4. 确认域屏幕保护程序
4. 在“组策略对象编辑器”中,单击“文件”,然后单击“退出”。在“contoso.com 属性”页中,单击“关闭”。单
击“文件”,然后单击“退出”以关闭“Active Directory 用户和计算机”。如果出现提示,请单击“是”以保存“GPWalkThrough”MMC。
要确认密码保护屏幕保护程序,请按照以下步骤操作:
1. 单击“开始”按钮,单击“运行”,键入“gpupdate /force”,然后单击“确定”。
注意:Gpupdate 刷新本地组策略设置和基于 Active Directory 的组策略设置,其中包括安全设置。force 选项忽略所有处理优化并重新应用所有设置。
单击“属性”,然后单击“屏幕保护程序”选项卡。屏幕保护程序名称应为“无”,并且选择了“在2. 右键单击“桌面”,
恢复时使用密码保护”复选框。这两项应灰显,如图 5 所示。
图 5. 确认密码保护屏幕保护程序
3. 单击“取消”。