其次，任何连接到域的GPO都可以用于建立和控制密码政策设置，GPO在域级别拥有最高优先权，这使其在任何与密码政策设置相冲突的设置中都能起决定作用。

　　第三，如果GPO链接到默认域控制器OU，它将不会控制存储在域控制器的用户Active Directory数据库。修改域用户帐户的密码政策设置的唯一途径位于链接到该域的GPO内。

    第四，如果GPO连接到组织单位(OU)，它将不能控制位于OU内的用户帐户。这是目前IT专业人士最常犯的错误。密码政策设置不是基于用户的，而是基于计算机的，正如图1所示。

　　第五，如果GPO链接到OU，GPO中创建的密码政策设置将会影响位于OU的任何计算机上的本地SAM，这将使链接到该域的GPO中配置的密码政策设置发挥主导作用，但是仅限于存储在这些计算机的本地SAM的本地用户帐户。

　　第六，大多数现有的Windows Active Directory企业版都支持LanManager(LM)功能，LM是一个非常旧的验证协议，不太能保证密码和生成的密码hash(用于支持该协议的验证)的安全性，有两种GPO设置(实际上是注册表设置)可以控制是否支持LM以及是否存储LM hash，这将在接下来的文章中进行探讨。

　　总结

　　对于windows 2000和Server 2003域而言，只能有一个密码政策，这意味着所有的用户(IT人员、开发人员、管理人员、人力资源等)都拥有相同的密码政策控制，这是非常不安全的。默认设置是最初设置的，并被保存在默认域政策GPO中，而这是与域节点相连的。可以通过链接到OU(这些计算机帐户位于AD中)的GPO对服务器和桌面的本地SAM进行修改，这些GPO设置只能控制本地用户帐户，而不是域用户帐户。LM是一种旧的不安全的验证协议，尽可能禁用这种协议。下文中我们将讨论密码攻击以及预防攻击等问题。Active Directory域的默认密码政策设置并不可怕，不过仍然需要改进。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点