多元（颗粒化）密码策略

在Windows Server 2000和Windows Server 2003中，针对域用户的密码策略和帐户锁定设置都由默认域策略控制着。若要为特定的用户组创建不同的密码策略或者帐户锁定设置就必须创建另外的域或者创建密码筛选器。

在Windows Server 2008 AD DS中，提供了多元密码策略可以在单个域中指定多个密码策略。这使得域管理员组成员可以为域中不同的用户组创建不同的密码策略和帐户锁定设置。

举例来说，域管理员能够为一个高权限用户组（有着更多的访问特权的用户组）创建一条更严格的密码策略，而为普通用户组应用不太严格的密码策略。

Windows Server 2008中多元密码策略：

只能被应用到用户对象或者全局安全组。无法将多元密码策略直接应用于一个OU之上。

若要对OU中的用户建立多元密码策略，应将密码策略应用于一个全局安全组（逻辑上映

射到 OU的一个用户组，即shadow group影子组）。如果将用户从一个OU移动到另外的

OU（为了用户受新移动到的OU上的密码策略控制或是不再受原来OU的密码策略影响），

你必须更新相应影子组的成员身份。

 

本文出自 “我们一起” 博客，谢绝转载！