为部门单独设定密码策略

    用户今天有一个需求，要给一个ou设置单独的密码策略，他们的Windows Server服务器版本是2008R2企业版，由于密码策略只能在默认域策略中定义，无法对单个特定的用户组设定密码策略，Server 2008之后多了一个新的功能，有两种叫法，多元化密码策略和颗粒化密码策略

    用户需求很简单，让他们应用组的成员不要继承默认的密码策略，默认的是90天修改密码，阈值5次，修改为999天，阈值999，感觉就跟开玩笑一样

下面用我测试环境进行操作，最后说一个实际操作中遇到的问题

= = 新建一个安全组，密码策略需要依靠安全组来实现

然后将sijia加入Password安全组中

= = 打开ADSI编辑器，创建新的对象，现在就是在创建一条单独的密码策略

1）键入密码策略名称

2）注意语法类型是整数类型，0-9数字，不可以出现小数点

3）布尔型，只能出现True 或 False，用可还原的加密存储密码，选择False

4）密码历史长度，比如密码历史长度设置为1，你这次使用了密码123，下次修改密码时密码不可以是123，第二次修改密码时才可以继续使用123

5）密码复杂性，选择False

6）最小密码长度，我这里选择的8，后续可以更改

7）语法是持续时间，必须以天:时:分:秒的格式输入，我输入的998

8）最短时间和最大时间不可以一致，最大设置998

9）用户多少次错误密码锁定账户

10）账户锁定持续时间，设置的是一秒

11）账户解除阀值时间，也是一秒

12）完成后打开对象属性，找到msDS-PSAppliesTo这个值

13）将创建好的安全组添加到值中，记住开始我将用户已经添加到了安全组中

14）为了方便测试，我将最短密码长度修改为1

= = 测试密码测试是否生效

1）我之前将最短密码长度修改为1，由于域内非Password安全组的用户还是继承域密码策略的，还是具有密码复杂性，不能修改密码

2）sijia这个用户是Password安全组中的用户

3）使用1位数密码修改成功，说明密码策略是生效的

= = 用户生产环境应用密码策略遇到的问题

1）在创建完密码策略时，反复测试密码策略不生效，排除了创建的值得问题，只要写对语法创建完成时就不会报错，比如整数型 输入1-9的数字，布尔型 输入 True或False， 持续时间 输入 天:时:分:秒

2）还有一个可能就是用户的域级别不是2008，后来查看用户域级别发现是2003

需要提升域功能级别，这里肯定有人会问，提升林和域级别会不会对生产环境和用户环境造成影响，答案是不会，除非你域中有03的域控，域级别和林级别提升后，就不支持03域控了，此外，没有其他风险

3）提升林功能级别

4）提升域功能级别

5）提升后，用户反应策略已经生效...