AD中如何设置密码复杂度规则？

一、密码复杂度策略的基本概念与合规要求

在Active Directory（AD）环境中，密码策略是保障身份安全的第一道防线。根据NIST SP 800-63B和ISO/IEC 27001等主流安全标准，企业应实施包含长度、复杂性、历史记录和过期周期的综合密码策略。其中，“密码必须符合复杂性要求”仅是基础条件之一，其定义为：密码需包含大写字母（A-Z）、小写字母（a-z）、数字（0-9）和特殊符号（如!@#$%^&*）四类字符中的至少三类。

然而，仅启用该策略并不足以满足合规需求。例如，一个8位且符合复杂性的密码（如!）仍可能被暴力破解。因此，必须结合以下关键策略：

• 最小密码长度 ≥ 12位
• 强制密码历史 ≥ 24次
• 最大密码使用期限 ≤ 90天
• 最小密码使用期限 ≥ 1天（防止快速更换绕过历史）

二、组策略对象（GPO）配置流程详解

正确配置密码策略的核心在于理解GPO的作用域与继承机制。默认情况下，密码策略位于“默认域策略”（Default Domain Policy）中，路径如下：

1. 打开组策略管理控制台（GPMC.msc）
2. 导航至：Forest > Domains > [YourDomain] > Default Domain Policy
3. 右键编辑，进入：
   计算机配置 → 策略 → Windows 设置 → 安全设置 → 账户策略 → 密码策略
4. 配置以下关键策略项：

策略名称	推荐值	说明
密码必须符合复杂性要求	已启用	确保使用三类以上字符
密码长度最小值	12	低于12位易受离线破解
强制密码历史	24	防止用户循环使用旧密码
最长使用期限	90天	平衡安全与用户体验
最短使用期限	1天	阻止立即更改绕过历史

三、常见问题分析与排查路径

即便策略已配置，仍可能出现“用户可设简单密码”或“策略未生效”的现象。以下是典型问题及其根源：

1. 策略未链接到正确OU：若自定义GPO未链接至域根或用户所在OU，则不会生效。
2. GPO被高优先级策略覆盖：存在多个GPO时，链接顺序决定优先级，后应用者胜出。
3. 域控制器未刷新策略：DC默认每90分钟刷新一次GPO，可通过命令手动触发。
4. 本地安全策略干扰：成员服务器或工作站的本地策略可能覆盖域策略（极少见，但需排除）。
5. 密码策略仅应用于域账户：本地账户不受域GPO影响，需单独管理。

# 强制域控制器立即更新组策略
gpupdate /force

# 查看当前生效的密码策略
net accounts

# 检查特定用户的密码状态（需管理员权限）
wmic useraccount where name='username' get passwordrequired, lockouttime

四、验证策略生效的技术手段

配置完成后，必须通过多维度验证策略是否真正落地。以下为推荐验证流程：

1. 使用gpresult /r检查目标用户或计算机应用了哪些GPO。
2. 运行rsop.msc（结果集策略）查看实际生效设置。
3. 尝试修改测试账户密码，输入不符合复杂性的组合（如全字母），系统应拒绝。
4. 使用PowerShell脚本批量检测域内策略一致性：

Get-ADDefaultDomainPasswordPolicy | Select ComplexityEnabled, 
MinimumPasswordLength, 
MinPasswordAge, 
MaxPasswordAge, 
PasswordHistoryCount

五、高级场景与流程图解析

在大型混合环境中，组织单位（OU）层级复杂，GPO继承容易出错。建议采用“单一权威源”原则——所有密码策略集中于“默认域策略”，避免分散配置导致冲突。

1. 禁用其他GPO中的密码策略设置，防止意外覆盖。
2. 使用WMI过滤器或安全组筛选（Security Group Filtering）精准控制应用范围。
3. 启用组策略首选项日志记录，便于审计变更。

graph TD A[开始配置密码策略] --> B{是否使用默认域策略?} B -- 是 --> C[编辑Default Domain Policy] B -- 否 --> D[创建专用GPO并链接至域根] C --> E[启用复杂性要求] D --> E E --> F[设置最小长度≥12] F --> G[配置历史记录≥24] G --> H[设定最大期限≤90天] H --> I[执行gpupdate /force] I --> J[验证net accounts输出] J --> K[测试用户密码更改行为] K --> L[确认策略生效]