在Windows Server 2008中配置精準密碼原則和帳戶鎖定策略

在windows 2000和windows 2003的活動目錄域中，我們只能夠在Default Domain Policy中為所有使用者配置應用一個密碼原則和帳戶鎖定策略，如果我們需要為一些特殊的使用者制定不同的密碼和帳戶鎖定策略，我們只能夠通過建立新域的方法，因為以前一個域只能夠使用一個密碼和帳戶鎖定策略。

Windows Server 2008 ADDS 中新增了一項功能，稱為精準密碼原則，可以用它在域中定義多個密碼原則，並且將它應用到使用者或者全域安全性群組中，注意，不是應用在OU中，要想使用此功能，我們需要藉助ADSIEdit編輯器為域建立Password Settings objects (PSOs)，下面來介紹具體的操作：

首先在08DC中開啟ADSIEdit編輯器，定位到如下圖位置：

在“CN=Password Settings Container”節點右鍵選擇建立，在快顯視窗中選擇“msDS-PasswordSettings”類別，如下圖所示：

在緊接的視窗中為建立的Password Settings objects輸入一個名稱，如下圖所示：

在快顯視窗中為msDS-PasswordSettingsPrecedence屬性設定一個值，該屬性為優先順序設定，如果域中有多個密碼原則直接與使用者連結，將應用優先權值最小的策略，如下圖所示：

在快顯視窗為msDS-PasswordReversibleEncryptionEnabled屬性設定一個布爾值，可以設定FALSE / TRUE，該屬性在組策略中對應“用可還原的加密來儲存密碼”設定，在此設定FALSE後單擊“下一步”，如下圖所示：

在快顯視窗為msDS-PasswordHistoryLength屬性設定一個值，該屬性在組策略中對應“強制密碼曆史”設定，可用值的範圍為0-1024，在此設定後單擊“下一步”，如下圖所示：

在快顯視窗中為msDS-PasswordComplexityEnabled屬性設定一個布爾值，可以設定FALSE / TRUE，該屬性在組策略中對應“密碼必須符合複雜性要求”設定，在此設定為啟用，單擊“下一步”，如下圖所示：