在windows 2000和windows 2003的活动目录域中,我们只能够在Default Domain Policy中为所有用户配置应用一个密码策略和帐户锁定策略,如果我们需要为一些特殊的用户制定不同的密码和帐户锁定策略,我们只能够通过创建新域的方法,因为以前一个域只能够使用一个密码和帐户锁定策略。
Windows Server 2008 ADDS 中新增了一项功能,称为精准密码策略,可以用它在域中定义多个密码策略,并且将它应用到用户或者全局安全组中,注意,不是应用在OU中,要想使用此功能,我们需要借助ADSIEdit编辑器为域创建Password Settings objects (PSOs),下面来介绍具体的操作:
首先在08DC中打开ADSIEdit编辑器,定位到如下图位置:
在“CN=Password Settings Container”节点右键选择新建,在弹出窗口中选择“msDS-PasswordSettings”类别,如下图所示:
在紧接的窗口中为新建的Password Settings objects输入一个名称,如下图所示:
在弹出窗口中为msDS-PasswordSettingsPrecedence属性设置一个值,该属性为优先级设置,如果域中有多个密码策略直接与用户链接,将应用优先权值最小的策略,如下图所示:
在弹出窗口为msDS-PasswordReversibleEncryptionEnabled属性设置一个布尔值,可以设置FALSE / TRUE,该属性在组策略中对应“用可还原的加密来储存密码”设置,在此设置FALSE后单击“下一步”,如下图所示:
在弹出窗口为msDS-PasswordHistoryLength属性设置一个值,该属性在组策略中对应“强制密码历史”设置,可用值的范围为0-1024,在此设置后单击“下一步”,如下图所示:
在弹出窗口中为msDS-PasswordComplexityEnabled属性设置一个布尔值,可以设置FALSE / TRUE,该属性在组策略中对应“密码必须符合复杂性要求”设置,在此设置为启用,单击“下一步”,如下图所示: