在企業網路環境中,資訊安全的第一道防線通常就是密碼原則 (Password Policy)。透過 Windows Server 的 Active Directory (AD),管理者可以強制執行統一的密碼規範,例如長度、複雜度及更換頻率。本篇文章將詳細介紹如何透過「群組原則 (GPO)」與「細分密碼原則 (FGPP)」來強化網域安全。
| 設定方式 | 適用範圍 | 主要優點 |
|---|---|---|
| 預設網域原則 (Default Domain Policy) | 整個網域的所有使用者 | 設定簡單,全域強制執行。 |
| 細分密碼原則 (FGPP) | 特定使用者或群組 (如:管理者) | 可針對不同職位提供差異化安全強度。 |
一、 使用群組原則 (GPO) 設定全網域密碼原則
這是最常見的設定方式,適用於需要對所有網域使用者執行相同規範的情境。
- 開啟群組原則管理 (Group Policy Management)。
- 展開您的網域,找到 Default Domain Policy,按右鍵選擇「編輯」。
-
導覽至以下路徑:
電腦設定 > 原則 > Windows 設定 > 安全性設定 > 帳戶原則 > 密碼原則
-
在右側窗格中,您可以調整以下關鍵設定:
- 密碼必須符合複雜性需求: 啟用後需包含大寫、小寫、數字與符號。
- 最小密碼長度: 建議設定為 8 至 12 位字元以上。
- 密碼最長有效期: 建議 30 至 90 天強制更換。
- 強制執行密碼歷程記錄: 防止使用者反覆使用舊密碼。
-
設定完成後,在用戶端執行
gpupdate /force即可立即生效。
二、 使用細分密碼原則 (FGPP) 進行進階管理
如果您希望管理員(Domain Admins)的密碼比一般員工更嚴格(例如 15 位字元),則需要使用 FGPP。
- 開啟 Active Directory 管理中心 (ADAC)。
- 在左側樹狀目錄中,選擇您的網域,進入 System > Password Settings Container。
- 在右側「工作」窗格點選「新增 > 密碼設定」。
- 在彈出的視窗中設定細項規則,並在「直接套用到」區塊加入特定的使用者或安全群組。
- FGPP 的優先權高於 GPO 的預設原則。
三、 最佳實務建議
在設定密碼原則時,請務必考量安全性與使用者體驗的平衡:
- 長度勝於複雜度: 現代安全觀念更強調密碼長度(如 14 字元以上的通行短語),這比單純要求符號更能抵禦暴力破解。
- 帳戶鎖定原則: 配合設定「帳戶鎖定閥值」,例如連續輸入錯誤 5 次鎖定 15 分鐘,可防止自動化攻擊。
- 多因素驗證 (MFA): 密碼原則只是基礎,建議結合 MFA 以達到最高等級的安全防護。
希望這篇教學能幫助您順利完成 AD 密碼原則的部署。如有任何問題,歡迎在下方留言討論!
發表文章
 設定密碼原則?){kind=link}
0 留言