2007 Office system 系統管理範本檔案 (ADM、ADMX、ADML) 與 Office 自訂工具更新
適用版本: Office 2010
上次修改主題的時間: 2016-11-29
當您在 Microsoft Excel 2010、Microsoft PowerPoint 2010 及 Microsoft Word 2010 中使用 [以密碼加密] 功能時,Microsoft Office 2010 提供的設定可讓您強制執行強式密碼,例如密碼長度及複雜性規則。利用這些設定,您可以讓 Office 2010 應用程式強制執行在群組原則的 [密碼原則] 設定中指定的本機密碼需求或網域型需求。
本文內容:
關於規劃密碼長度及複雜性設定
強制執行密碼長度及複雜性
相關的密碼長度及複雜性設定
關於規劃密碼長度及複雜性設定
[以密碼加密] 功能的密碼長度或密碼複雜性預設沒有限制,亦即使用者不需要指定密碼,即可加密文件、簡報或活頁簿。但是建議組織變更此預設設定,並強制執行密碼長度及複雜性,以協助確保強式密碼與 [以密碼加密] 功能搭配使用。
許多組織都會使用網域型群組原則,以強制在登入及驗證時使用強式密碼。如果是這種情形,建議組織針對 [以密碼加密] 功能使用相同的密碼長度及複雜性需求。如需強式密碼的詳細資訊,包括決定密碼長度及複雜性的建議,請參閱建立強式密碼原則(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=166269\&clcid=0x404)(可能為英文網頁)。
警告
建立密碼原則時,必須能夠兼顧嚴密的安全性與使用者易於執行之密碼原則的需求。當使用者忘記密碼,或員工離職時,未留下儲存及加密資料時所使用的密碼,則在得到正確的密碼解密資料之前,將無法使用該資料。
強制執行密碼長度及複雜性
當您設定 Office 2010 用來強制執行密碼長度及複雜性的密碼設定時,可以選擇使用 Office 2010 隨附的設定,或是與網域型群組原則物件所提供的密碼設定一起使用。如果您已對網域登入及驗證強制執行強式密碼,建議您使用為網域的密碼原則群組原則物件所設定的密碼長度及複雜性,來設定 Office 2010。
Office 2010 隨附的密碼設定列示如下:
設定密碼長度下限
設定密碼規則層級
設定密碼規則網域逾時
您可以使用 Office 自訂工具 (OCT) 或 Office 2010 系統管理範本,為本機或網域型群組原則設定 Office 2010 密碼設定。如需如何在 OCT 和 Office 2010 系統管理範本中設定安全性設定的相關資訊,請參閱<設定 Office 2010 的安全性>。
可用於網域上密碼原則群組原則物件的密碼設定列示如下:
強制密碼歷程記錄
最長密碼期限
最短密碼期限
密碼長度下限
密碼必須符合複雜性需求
使用可還原的加密來存放密碼
您可以使用群組原則物件編輯器來設定網域型密碼原則設定 ([GPO] | [電腦設定] | [原則] | [Windows 設定] | [安全性設定] | [帳戶原則] | [密碼原則])。如需詳細資訊,請參閱群組原則物件編輯器技術參考(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=188682\&clcid=0x404)(可能為英文網頁)。
Office 2010 中的 [設定密碼規則層級] 設定可決定密碼複雜性需求,以及是否會使用網域的密碼原則群組原則物件。
若要為 [以密碼加密] 功能強制執行密碼長度及複雜性,您必須執行下列動作:
決定您要在本機強制執行的密碼長度下限。
決定密碼規則層級。
決定網域型密碼強制執行的密碼逾時值。(這是選用工作。如果您的網域控制站上有安裝自訂密碼篩選,而連絡網域控制站時的 4 秒預設等待時間不夠,可能就需要設定此值。)
決定密碼長度下限需求
若要強制執行密碼長度及複雜性,您必須先決定您要在本機強制執行的密碼長度下限。[設定密碼長度下限] 設定可讓您進行此設定。當您啟用此設定時,可指定 0 到 255 之間的密碼長度。然而,指定密碼長度下限並不會強制執行密碼長度。若要強制執行密碼長度或複雜性,您必須變更 [設定密碼規則層級] 設定,下節將會進行討論。
警告
建立密碼原則時,必須能夠兼顧嚴密的安全性與使用者易於執行之密碼原則的需求。當使用者忘記密碼,或員工離職時,未留下儲存及加密資料時所使用的密碼,則在得到正確的密碼解密資料之前,將無法使用該資料。
決定密碼規則層級
設定本機強制執行的密碼長度下限之後,您必須決定用來強制執行密碼長度及複雜性的規則。[設定密碼規則層級] 設定可讓您進行此設定。啟用此設定時,可以選取下列四個層級之一 (如下所示):
不檢查密碼:不強制執行密碼長度及複雜性。這與預設設定相同。
本機長度檢查:強制執行密碼長度,但不強制執行密碼複雜性。此外,只會依據 [設定密碼長度下限] 設定中指定的密碼長度需求,在本機上強制執行密碼長度。
本機長度及複雜性檢查:依據 [設定密碼長度下限] 設定中指定的密碼長度需求,在本機上強制執行密碼長度。也會在本機上強制執行密碼複雜性,亦即密碼必須包含下列至少三個字元集的字元:
小寫 a–z
大寫 A–Z
數字 0–9
非英文字母字元
您必須在 [設定密碼長度下限] 設定中指定至少六個字元的密碼長度,此設定才有效。
本機長度、本機複雜性,以及網域原則檢查:依據群組原則中設定的網域型 [密碼原則] 設定,來強制執行密碼長度及複雜性。如果電腦離線或無法連絡網域控制站,就會完全按照 [本機長度及複雜性檢查] 設定的說明來強制執行本機密碼長度及複雜性需求。
如果您要使用網域型設定來強制執行密碼長度及密碼複雜性,您必須在群組原則中設定 [密碼原則] 設定。網域型強制執行比本機強制執行多幾項優點。部分優點如下:
用於登入和驗證的密碼長度及複雜性需求,與用於 [以密碼加密] 功能的需求相同。
整個組織強制執行密碼長度及複雜性需求的方式皆相同。
強制執行密碼長度及複雜性需求的方式,會隨組織單位、網站和網域而不同。
若要深入了解如何使用網域型群組原則來強制執行密碼長度及複雜性,請參閱在整個組織強制執行強式密碼用法(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=166262\&clcid=0x404)(可能為英文網頁)。
決定網域逾時值
如果您使用網域型群組原則設定來為 [以密碼加密] 功能強制執行密碼長度及複雜性,而且網域控制站上有安裝自訂密碼篩選,您可能就需要設定 [設定密碼規則網域逾時] 設定。網域逾時值可決定 Office 2010 應用程式等待網域控制站回應多久之後,才使用本機密碼長度及複雜性設定來強制執行。您可以使用 [設定密碼規則網域逾時] 設定來變更網域逾時值。此逾時值預設為 4000 毫秒 (4 秒),亦即如果網域控制站沒有在 4000 毫秒內回應,Office 2010 應用程式就會使用本機密碼長度及複雜性設定來強制執行。
注意
除非您啟用 [設定密碼長度下限] 設定、啟用 [設定密碼規則層級] 設定,然後選取 [本機長度、本機複雜性,以及網域原則檢查] 選項,否則網域逾時值無效。
相關的密碼長度及複雜性設定
組織強制執行密碼長度及複雜性時,通常會使用下列設定:
**加密彈性設定:**這些設定可讓您指定加密文件、簡報及活頁簿所使用的密碼編譯提供者和演算法。
注意
如需原則設定的最新資訊,請參閱 Microsoft Excel 2010 活頁簿 Office2010GroupPolicyAndOCTSettings_Reference.xls (位於 Office 2010 系統管理範本檔案 (ADM、ADMX、ADML) 及 Office 自訂工具(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x404)(可能為英文網頁) 下載頁面的<此下載中的檔案>區段中)。