如果嘗試使用不正確的認證登入，帳戶鎖定原則將指定系統鎖定帳戶的時間和時長。

ESXi 密碼

ESXi 針對存取強制執行密碼需求。

• 依預設，建立密碼時，必須包括以下四類字元中任何三類字元的組合：小寫字母、大寫字母、數字和特殊字元 (如底線或破折號)。
• 依預設，密碼長度必須至少為 7 個字元，最多 40 個字元。
• 密碼不得包含字典字組或部分字典字組。
• 密碼不得包含使用者名稱或部分使用者名稱。

備註：

密碼開頭的大寫字元不計入使用的字元類別數。密碼結尾的數字不計入使用的字元類別數。

ESXi 密碼範例

下列候選密碼說明了選項設定如下時可以使用的潛在密碼：

retry=3 min=disabled,disabled,disabled,7,7

使用此設定時，如果新密碼的強度不夠或兩次未正確輸入密碼，則會提示使用者最多輸入三次 (retry=3)。由於前三個項目已停用，因此不允許使用包含一或兩類字元類別的密碼及密碼片語。使用三類及四類字元的密碼需要 7 個字元。

下列候選密碼符合以下密碼需求：

• xQaTEhb! ：包含八個字元，由三類字元組成。
• xQaT3#A：包含七個字元，由四類字元組成。

下列候選密碼不符合密碼需求：

• Xqat3hi：以大寫字元開頭，將有效字元類別數目減少到兩種。最少需要三種類別的字元。
• xQaTEh2：以數字結尾，將有效字元類別數目減少到兩種。最少需要三種類別的字元。

密碼品質控制

可以使用 Security.PasswordQualityControl 進階選項控制密碼品質。

Security.PasswordQualityControl 由遵循以下模式的多個設定組成：

retry=N min=N0,N1,N2,N3,N4 max=N passphrase=N similar=permit|deny

密碼品質控制設定	說明	預設值
retry=N	在密碼不正確或密碼強度不夠時，使用者必須提供新密碼的次數。	retry=3
min=N0,N1,N2,N3,N4	字元類別和複雜密碼的長度下限需求。 N0 是單一字元類別的密碼長度下限。 N1 是兩種字元類別的密碼長度下限。 N2 是複雜密碼的長度下限。 N3 是三種字元類別的長度下限。 N4 是四種字元類別的長度下限。 可以利用 disabled 禁止使用具有指定字元類別數的密碼。	min=disabled,disabled,disabled,7,7
max=N	允許的密碼長度上限。	max=40
passphrase=N	複雜密碼所需的字組數。為確保辨識 passphrase，請勿將 min 設定中的 N2 設定為 disabled。	passphrase=3
similar=permit|deny	指示是否允許密碼與舊密碼類似。若要使用此設定，請確保將 Security.PasswordHistory 選項設定為非零值。	similar=deny

ESXi 複雜密碼

可以使用複雜密碼取代密碼。複雜密碼預設處於停用狀態。可以使用 Security.PasswordQualityControl 進階選項變更預設設定。

例如，您可將該選項變更為下列內容。

retry=3 min=disabled,disabled,16,7,7

此範例允許使用至少包含 16 個字元的複雜密碼。複雜密碼必須至少包含 3 個以空格分隔的字組。

密碼歷程記錄和輪替原則範例

若要記住 5 個密碼的歷程記錄，請將 Security.PasswordHistory 選項設定為 5。

若要強制執行 90 天密碼輪替原則，請將 Security.PasswordMaxDays 選項設定為 90。

ESXi 帳戶鎖定原則

在連續嘗試失敗預設次數後，使用者會被鎖定。依預設，在 3 分鐘內連續嘗試失敗 5 次後，使用者會被鎖定，並且 15 分鐘後，系統會自動解除鎖定被鎖定的帳戶。可以使用 Security.AccountLockFailures 和 Security.AccountUnlockTime 進階選項變更允許的失敗嘗試次數上限和鎖定使用者帳戶的時長。

若要設定管理員密碼和帳戶鎖定行為，請執行以下步驟。