在Windows Server 2008密码策略中新增加了一个Fine-Grained密码及锁定策略特性。Fine-Grained密码策略允许对单个或多个组及用户单独设置密码及锁定策略,不过使用的前提是域功能级别必须是Windows Server 2008。Fine-Grained密码策略不会作为组策略的一部分被执行,它是活动目录中一个独立的对象类型,并通过密码对象设置(PSO,Password Setting Object)来维护Fine-Grained密码策略的设置。

一个PSO可以连接至多个组及用户,同样,单个组及用户也可以连接多个PSO。一个用户可以属于多个组。但是只有一个PSO决定密码及锁定策略。每个PSO都有一个优先级属性号码,数值是大于0的任意整数,1的优先级最高。如果多个PSO应用于同一个用户,则优先级最高的PSO生效。下面是决定优先级的规则:

· 如果多个PSOs应用于一个组,那么优先级最高的PSO生效。

· 直接连接至用户的PSO优先级高于连接至组的PSO(如果一个或多个PSOs直接应用于用户,则连接至组的PSOs忽略不计,不管它们的优先级是多少。)

· 如果一个或多个PSOs拥有相同的优先级号码,则GUID号码小的PSO生效。

    PSOs可以应用于全局安全组或者用户,但是PSOs不能应用于域中的组织单位(OU)

设置PSO的步骤如下:

clip_image001[6]

"Start"-->"Administrative Tools"-->"ADSI Edit"

clip_image002[6]

clip_image003[6]

clip_image004[6]

clip_image005[6]

clip_image006[6]

clip_image007[6]

clip_image008[6]

clip_image009[6]

clip_image010[6]

clip_image011[6]

clip_image012[6]

clip_image013[6]

clip_image014[6]

clip_image015[6]

clip_image016[6]

clip_image017[6]

clip_image018[6]

clip_image019[6]

验证是否成功应用到指定的安全组

clip_image020[6]

clip_image021[6]