實戰Windows 2008多元密碼原則

在Windows2000/2003域中只存在一套密碼原則，就是預設的域安全性原則，它無法針對每個域使用者去設定不同的密碼原則，而在Windows2008域中提供了多元化密碼原則，這就使得我們可以同一域環境中實現多套密碼原則

在實現多元化密碼原則之前，需要我們將域功能層級提升到Windows 2008或者Windows 2008R2

這是預設的域安全性原則，可以看到密碼原則沒有做任何限制，也就是說，我現再的域使用者，可以將密碼長度任意設定，可以是純字母，也可以是純數字

在本實驗中，我希望將IT部OU中的使用者密碼長度最小設定為8位，將人力資源部OU中的使用者啟用複雜性密碼，銷售部OU中的使用者密碼維持現狀

可是多元化密碼原則不能應用於OU，只能應用於全域安全性群組或者使用者，那我們需要在每個OU中建立相應的部門全域安全性群組，再將各自的使用者隸屬於這個組中即可

1.建立全域安全性群組

在OU【IT部】中建立一個全域安全性群組【IT部】

開啟【IT部】組的屬性，新增成員【蔣慶秋】

按同樣的方法，在OU【人力資源部】中建立全域安全性群組【人力資源部】，並新增成員【趙軍】

在OU【銷售部】中建立全域安全性群組【銷售部】，並新增成員【王曉婷】

2.建立密碼設定物件（PSO）

多元化密碼原則可以通過兩種方式來實現，一種是ADSI編輯器，另一種是比較直觀的工具Fine Grain Password Policies Tool

這裡我們首先通過ADSI編輯器來建立應用於【IT部】的密碼原則，在網域控制站上開啟ADSI編輯器，右鍵選擇【串連到】

選擇【預設命名內容】

按圖展開到【CN=Password Settings Container】，右鍵建立【對象】，建立一個密碼設定物件（PSO）

設定PSO名稱