要为登录到组织中的计算机的任何用户指定不会带来问题的密码策略,需要了解这些计算机所使用的操作系统。可能您已经确切了解网络中所使用的操作系统。如果尚不清楚,则需进行确定。此时,无需了解各操作系统的数量,也无需创建有关网络中所有系统的精确清单。要设计恰当的密码策略,仅需了解是否使用了旧系统。在您的网络中,很可能存在运行 Windows 95、Windows 98 或 Windows Millennium Edition 等旧操作系统的计算机。
如前文所述,运行 Windows NT 4.0、Windows 2000、Windows XP 和 Windows Server 2003 的计算机都支持长而强的密码。而运行 Windows 95、Windows 98 和 Windows Millennium Edition 的计算机则不可以。如果网络中有计算机运行任何这些 Windows 版本,密码策略都必须支持这些计算机。
对于有计算机运行 Windows 95、Windows 98 或 Windows Millennium Edition 的组织,用户密码不得超过 14 个字符,且不能包括通过 Alt 键组合生成的字符。
如果组织内的所有计算机运行的都是 Windows NT 4.0、Windows 2000、Windows XP 或 Windows Server 2003,则用户密码的最大长度可以是 128 个字符,且密码可以包含通过 Alt 键组合生成的字符。
定义密码技术要求
对于运行 Windows 2000、Windows XP 和 Windows Server 2003 的计算机,可以强制执行最多五项与密码特性相关的设置。
确定密码的最小长度。尽管运行 Windows 2000、Windows XP 和 Windows Server 2003 的计算机最多可支持 128 个字符,但此设置仅可设为 0 到 14 个字符。如果设为 0,用户则可拥有空白密码;此值绝不可使用。
设为 8 个字符。
密码必须符合复杂性要求
确定是否强制执行密码复杂性。 如果启用此设置,用户密码需遵守下列要求:
·
密码长度至少有 6 个字符。
·
密码须包含来自下列五类中的三类字符:英文大写字符 (A - Z)、英文小写字符 (a - z)、十进制数字 (0 - 9)、非字母数字符号(例如 !、$、# 或 %)、Unicode 字符。
·
密码不得包含三个或三个以上来自用户帐户名中的字符。如果帐户名长度低于三个字符,因为密码被拒概率过高而不会执行此项检查。在检查用户全名的过程中,有多个字符可视作分隔符(将名称分隔为单个的标记):逗号、句点、破折号/连字符、下划线、空格、镑符和制表符。对于包含三个或更多字符的每个标记,将在密码中对其进行搜索,如果发现了该标记,就会拒绝密码更改。例如,姓名“Erin M. Hagens”将拆分为三个标记:“Erin”、“M”和“Hagens”。因为第二个标记仅包含一个字符,因而会将其忽略。因此,该用户密码中任何位置都不能包含“erin”或“hagens”子字符串。所有这些检查都区分大小写形式。