Windows Server 2008 作業系統為組織提供一個方法,可以為域中的不同集合的使用者定義不同的密碼和帳號鎖定策略。在Microsoft Windows 2000和Windows Server 2003 活動目錄域中,只能有一個密碼原則和帳號鎖定策略應用到域中的所有的使用者。這些策略在域的預設的域策略中指定。結果是,那些想為不同集合的使用者定義不同的密 碼和帳號鎖定策略的組織只能建立密碼過濾器或部署多個域來實現。由於不同的原因這些方法的成本都很高。
Fine-grained 密碼原則能夠做什嗎?
您能夠使用fine-grained 密碼原則在一個域中指定多個密碼原則。您能夠使用Fine-grained 密碼原則來將不同的密碼和帳號鎖定策略應用到域中不同集合的使用者。
例如,您能夠將更嚴格的設定應用到特權帳號,不太嚴格的設定應用其他帳號。在其他的情況中,您也許想為這樣的帳號應用一個指定的密碼原則,它們的密碼和其他數 據源要同步。
應用該策略之前要考慮的事情
Fine-grained 策略只能應用於使用者物件(或inetOrgPerson 對象如果使用它而不是使用者物件的話)和全域安全性群組。在預設情況下,只有Domain Admins 組中的成員能夠 設定Fine-grained 密碼原則。然而,您可以將該許可權委派給其他使用者。域的功能層級必須是Windows Server 2008。
Fine-grained 密碼原則不能直接應用到組織單位(OU)。要將Fine-grained 密碼原則應用到OU中的使用者,您可以使用一個影子組。
影子組是一個全域安全性群組,該組邏輯上映射到一個OU來強制密碼原則。您能夠將OU中的使用者添加到新建立的影子組中,然後應用Fine-grained 密碼原則到該影子組。您 也可以為其他的OU建立額外的影子組。如果您將使用者從一個OU移動到另外一個OU,您必須更新對應的影子組的成員。
Fine-grained 密碼原則不會幹涉同一個域中自訂的密碼過濾器。那些部署了自訂的密碼過濾器到運行Windows 2000 或Windows Server 2003的網域控制站的單位,能 夠使用這些密碼過濾器來為密碼做額外的增強限制。
該特效能夠提供哪些新的功能?
儲存Fine-grained 密碼原則
要儲存Fine-grained 密碼原則,Windows Server 2008 在活動目錄目錄服務架構中包含了兩個新的對象:
o Password Settings Container
o Password Settings
Password Settings Container (PSC)在預設情況下被建立在域的System 容器中。您可以通過活動目錄使用者和電腦管理工具,選種進階特性選項來查看它。它儲存域 的Password Settings objects (PSOs) 。
您不能重新命名、移動或刪除該容器。儘管您可以建立額外的自訂的PSCs ,它們不會被考慮當策略的結果集在計算對象的時候。因此,這也不是推薦的做法。
PSO 的屬性的設定能夠在Default Domain Policy(除Kerberos設定外) 中設定。這些設定包括下面這些密碼設定屬性。
o Enforce password history
o Maximum password age
o Minimum password age
o Minimum password length
o Passwords must meet complexity requirements
o Store passwords using reversible encryption