活动目录在WindowsServer2008中的改进：颗粒化密码策略

Windows Server 2008为组织提供了一种为特定域中的不同用户集定义不同密码和帐户锁定策略的方法。在Windows 2000和Windows Server 2003的Active Directory域中，只能对域中的所有用户应用一个密码和帐户锁定策略。这些策略在默认域策略中定义。因此，想要对不同的用户组采用不同的密码和帐户锁定的组织必须建立密码策略过滤器或部署多个域。出于不同的原因，这些选择将是昂贵的。

粒度密码策略能做什么？

您可以使用粒度密码策略在同一个域中指定多个密码策略。您可以使用粒度密码策略对同一域中的不同用户集应用不同的密码和帐户锁定策略限制。

例如，您可以对特权帐户使用严格的设置，而对其他用户使用不太严格的设置。例如，在其他情况下，您希望对其密码与其他数据源同步的帐户应用特殊策略。

还有什么需要特别考虑的吗？

粒度密码策略值应用于用户对象(或用于替换用户对象的inetOrgPerson对象)和全局安全组。默认情况下，只有域管理员组的成员可以设置此策略。但是，您也可以委托其他用户来设置此策略。但域功能级别必须是Windows Server 2008。

粒状密码策略不能直接应用于OU。但是为了这个目的，你可以使用阴影组。

影子组本质上是一个全局安全组，逻辑上映射到OU，用于加强粒度加密策略。将用户添加到ou就像将成员添加到影子组一样，然后将粒度密码策略应用到影子组。您可以根据需要为其他ou创建额外的影子组。如果将用户从一个组织单位移动到另一个组织单位，则必须将帐户组成员属性更新到相应的影子组。

粒度密码策略不受您必须在同一域中应用的自定义密码策略筛选器的影响。将自定义密码策略筛选器部署到使用Windows 2000或Windows Server 2003作为域控制器的组织，并且您可以继续使用这些筛选器来实施其他密码限制。

该功能提供了哪些新功能？

存储粒度密码策略

为了存储精确的密码策略，Windows Server 2008在AD DS体系结构中包括了两个新的对象类:

密码设置容器(密码设置容器)

密码设置(密码设置)

默认情况下，密码容器创建在域的系统容器下。您可以通过使用Active Directory用户和计算并启用高级功能来查看它。它存储域的密码设置对象(以下简称PSOs)。

您不能重命名、移动或删除该容器。虽然您可以创建附加的自定义密码设置容器，但它们不计入为对象计算的组策略结果集中。因此，不建议创建额外的自定义密码设置容器。

密码对象包含可以在默认域策略中定义的所有属性设置(Kerberos设置除外)。这些设置包含以下密码设置属性:

强制密码历史记录
最长密码生存期
最短密码生存期
最短密码长度
密码必须满足复杂性要求
使用可恢复加密存储密码。

这些设置还包括以下帐户锁定设置

帐户锁定时间
帐户锁定阈值
重置帐户锁定计数器。

此外，PSO还包含以下两个新属性:

PSO链接:这是一个链接到用户或组对象的多值属性。

Priority:这是一个整数值，用于解决将多个PSO应用于单个用户或组对象所导致的冲突。

这九个属性值必须定义，缺一不可。来自多个PSO的设置不能合并。

定义粒度密码策略的范围。

PSO可以链接到与PSO相同域中的用户(或inetOrgPerson)或组对象。

粒子群算法包含属性值，MSDS粒子群算法的应用，它描述了粒子群算法的前向链接。MSDS粒子群算法应用的是多值属性。因此，您可以将一个PSO链接到多个用户或组。

2008年，名为msDS-PS applied的新属性值被添加到用户和组对象中。该属性包含PSO的反向链接。因为msDS-PSOApplied属性有反向链接，一个用户或组可以被多个PSO应用。除了全局安全组之外，您还可以将PSO链接到其他类型的组。

使用图形界面(adsiedit.msc)建立PSO

1.点击开始按钮，点击运行，进入adsiedit.msc，点击确定
*如果是第一次在DC上运行adsiedit.msc，请继续看第二步，如果不是，跳到第四步。
2。在ADSI编辑界面中，右键单击ADSI编辑，然后单击连接到
3。在名称属性框中输入要在其中创建PSO的域的完全限定域名(FQDN)。然后单击“确定”
4。双击域
5。双击DC=
6。双击CN=System
7。双击密码设置
8。右键单击CN =密码设置容器，然后单击新建。单击对象
9。在创建对象的对话框中，选择msDS-PasswordSettings，然后单击Next
10。输入PSO的名称，然后单击下一步
11。根据向导输入所需的属性。

uses密码启用可逆加密
属性名称描述示例值
MSDS-密码设置优先级密码设置优先级10
MSDS-密码启用可逆加密使用可逆加密存储密码false
MSDS-密码历史长度24
MSDS-密码复杂性启用用户密码复杂性为TRUE

msDS-MinimumPasswordLength用户密码的最小长度为8
MSDS-minimumpasswordage密码的最小寿命
(只允许负值，计算方法见文末)
-86400000000 (1天)
MSDS-MaximumPasswordage密码最大使用寿命
(只允许负值 计算方法见文末)
-17280000000000(20天)
MSDS-锁定阈值帐户锁定阈值0
MSDS-锁定观察窗口重置帐户锁定计数器时间
(只允许负值，计算方法见文末)-1800000000 (30分钟)
MSDS-锁定持续时间帐户锁定时间
(只允许负值，见

12.在向导的最后一页上，单击“更多属性”
13。在选择要查看哪些属性的菜单中，单击可选或两者都选
14。在选择要查看的属性的下拉菜单中，选择msDS-PSOAppliesTo
15。在编辑属性中，添加应用PSO的用户和全局安全组的相对可分辨名称
16。如果需要将PSO应用于多个用户和全局安全组
17，请重复步骤15。单击完成。

附:涉及时间属性值确定的一些计算时间单位的方法
' m '分钟-60 *(10 ^ 7)=-6000000
' h '小时-60 * 60 *(10 ^ 7)=-360。