如果尝试使用不正确的凭据登录，帐户锁定策略将指定系统锁定帐户的时间和时长。

ESXi 密码

ESXi 强制执行密码访问要求。

• 默认情况下，在创建密码时，必须包括以下四类字符中任何三类字符的组合：小写字母、大写字母、数字和特殊字符（如下划线或短划线）。
• 默认情况下，密码长度必须至少为 7 个字符，最多 40 个字符。
• 密码不得包含字典单词或部分字典单词。
• 密码不得包含用户名或部分用户名。

注：

密码开头的大写字母不算入使用的字符类别数。密码结尾的数字不算入使用的字符类别数。

ESXi 密码示例

以下候选密码说明了选项设置如下时可以使用的密码：

retry=3 min=disabled,disabled,disabled,7,7

使用此设置时，如果新密码不够强或者两次未正确输入密码，则系统最多会提示用户输入三次 (retry=3)。不允许使用包含一种或两种类别字符的密码，也不允许使用密码短语，因为前三项已停用。使用三种和四种字符类别的密码需要 7 个字符。

候选密码符合以下密码要求：

• xQaTEhb! ：包含由三类字符组成的八个字符。
• xQaT3#A：包含由四类字符组成的七个字符。

所选的以下密码不符合密码要求:

• Xqat3hi：以大写字符开头，将有效字符类别数减少为两种。需要的最少字符类别数为三种。
• xQaTEh2：以数字结尾，将有效字符种类数减少到两种。需要的最少字符类别数为三种。

密码质量控制

可以使用 Security.PasswordQualityControl 高级选项控制密码质量。

Security.PasswordQualityControl 由遵循以下模式的多个设置组成：

retry=N min=N0,N1,N2,N3,N4 max=N passphrase=N similar=permit|deny

密码质量控制设置	描述	默认
retry=N	在密码不正确或不够强时，用户必须提供新密码的次数。	retry=3
min=N0,N1,N2,N3,N4	字符类别和密码短语最小长度要求。 N0 是一种字符类别的最小密码长度。 N1 是两种字符类别的最小密码长度。 N2 是密码短语的最小长度。 N3 是三种字符类别的最小长度。 N4 是四种字符类别的最小长度。 可以使用 disabled 禁止使用具有指定字符类别数的密码。	min=disabled,disabled,disabled,7,7
max=N	允许的最大密码长度。	max=40
passphrase=N	密码短语所需的单词数。为确保识别 passphrase，请勿将 min 中的 N2 设置为 disabled。	passphrase=3
similar=permit|deny	指示是否允许密码与旧密码类似。要使用此设置，请确保将 Security.PasswordHistory 选项设置为非零值。	similar=deny

ESXi 密码短语

可以使用密码短语代替密码。默认情况下，密码短语处于停用状态。可以使用 Security.PasswordQualityControl 高级选项更改默认设置。

例如，您可以将该选项更改为以下值。

retry=3 min=disabled,disabled,16,7,7

此示例允许使用至少包含 16 个字符的密码短语。密码短语必须至少包含 3 个以空格分隔的单词。

密码历史记录和轮换策略示例

要记住 5 个密码的历史记录，请将 Security.PasswordHistory 选项设置为 5。

要强制执行 90 天密码轮换策略，请将 Security.PasswordMaxDays 选项设置为 90。

ESXi 帐户锁定策略

在连续尝试预设次数失败后，用户将被锁定。默认情况下，用户在 3 分钟内连续 5 次尝试失败后将被锁定，锁定的帐户在 15 分钟后将自动解锁。可以使用 Security.AccountLockFailures 和 Security.AccountUnlockTime 高级选项更改允许的最大失败尝试次数和锁定用户帐户的时长。

要配置管理员密码和帐户锁定行为，请执行以下步骤。