在windows 2000和windows 2003的活動目錄域中,我們只能夠在Default Domain Policy中為所有使用者配置應用一個密碼原則和帳戶鎖定策略,如果我們需要為一些特殊的使用者制定不同的密碼和帳戶鎖定策略,我們只能夠通過建立新域的方法,因為以前一個域只能夠使用一個密碼和帳戶鎖定策略。
Windows Server 2008 ADDS 中新增了一項功能,稱為精準密碼原則,可以用它在域中定義多個密碼原則,並且將它應用到使用者或者全域安全性群組中,注意,不是應用在OU中,要想使用此功能,我們需要藉助ADSIEdit編輯器為域建立Password Settings objects (PSOs),下面來介紹具體的操作:
首先在08DC中開啟ADSIEdit編輯器,定位到如下圖位置:
在“CN=Password Settings Container”節點右鍵選擇建立,在快顯視窗中選擇“msDS-PasswordSettings”類別,如下圖所示:
在緊接的視窗中為建立的Password Settings objects輸入一個名稱,如下圖所示:
在快顯視窗中為msDS-PasswordSettingsPrecedence屬性設定一個值,該屬性為優先順序設定,如果域中有多個密碼原則直接與使用者連結,將應用優先權值最小的策略,如下圖所示:
在快顯視窗為msDS-PasswordReversibleEncryptionEnabled屬性設定一個布爾值,可以設定FALSE / TRUE,該屬性在組策略中對應“用可還原的加密來儲存密碼”設定,在此設定FALSE後單擊“下一步”,如下圖所示:
在快顯視窗為msDS-PasswordHistoryLength屬性設定一個值,該屬性在組策略中對應“強制密碼曆史”設定,可用值的範圍為0-1024,在此設定後單擊“下一步”,如下圖所示:
在快顯視窗中為msDS-PasswordComplexityEnabled屬性設定一個布爾值,可以設定FALSE / TRUE,該屬性在組策略中對應“密碼必須符合複雜性要求”設定,在此設定為啟用,單擊“下一步”,如下圖所示: