【组策略基本应用第2篇】密码策略：强制复杂密码、定期更换、历史记录

系列：爱依航 · Windows Server 2022 组策略实战系列

本篇主题：密码策略六个设置详解

环境：域名 iehang.cn / 域控制器 DC01

开篇：密码太简单被撞库

公司财务系统被撞库攻击，原因是有员工密码是"123456"。安全审计要求：所有域用户密码必须 8 位以上，包含大小写字母和数字，每 90 天强制更换。

这就是密码策略要管的事。

Part 1 · 密码策略在哪

打开 gpmc.msc → 右键 Default Domain Policy → 编辑

路径：

计算机配置
  └─ 策略
      └─ Windows 设置
          └─ 安全设置
              └─ 账户策略
                  └─ 密码策略

Part 2 · 六个设置详解

1. 密码必须符合复杂性要求

启用后，密码必须满足：

• 至少 6 个字符
• 包含大写字母 (A-Z)
• 包含小写字母 (a-z)
• 包含数字 (0-9)
• 包含特殊字符 (!@#$%^&* 等)
• 不能包含用户账户名

建议：启用

2. 最小密码长度

密码最少多少个字符。

建议：8（安全要求高的可以设 12）

3. 密码最长期限

多少天后密码过期，必须修改。

建议：90 天（或 42 天默认值）

4. 密码最短期限

改完密码后，多少天内不能再改。防止用户快速改几次把密码换回原来的。

建议：1 天

5. 强制密码历史

记住最近多少个旧密码，不能重复使用。

建议：24（记住 24 个历史密码）

6. 用可还原的加密存储密码

为了兼容某些旧应用。

建议：禁用（安全风险）

Part 3 · 实战配置

双击每个设置，进行如下配置：

密码必须符合复杂性要求：已启用
最小密码长度：           8
密码最长期限：           90 天
密码最短期限：           1 天
强制密码历史：           24
用可还原的加密存储密码： 已禁用

配置完成后，点击确定保存。

Part 4 · 验证生效

在客户端电脑上，打开命令提示符，运行：

gpupdate /force

然后尝试修改一个域用户密码，测试策略是否生效。

如果密码不符合要求，会提示"密码不符合复杂性要求"。

小结

密码策略是域安全的第一道防线。

记住：

• 复杂性要求启用
• 最小长度 8 位以上
• 90 天强制更换
• 记住 24 个历史密码