多元（颗粒化）密码策略

一、多元（颗粒化）密码策略介绍：

      在windows server 2000/2003中，我们无法针对域用户不同而设置不同密码策略，

      域用户密码策略和账户设置都 由默认域策略控制，如果要重新建立策略我们必须

     创建密码筛选器，如果想部署多元（颗粒化）密码策略，我们只能使用windows

server 2008/windows server 2008R2 AD, 提供了多元密码策略可以在单个域中指定多个

密码策略。这使得域管理员组成员可以为域中不同的用户组创建不同的密码策略和帐户

锁定设置。举例来说，域管理员能够为一个高权限用户组（有着更多的访问特权的用户

组）创建一条更严格的密码策略，而为普通用户组应用不太严格的密码策略。

二、注意事项：

只能被应用到用户对象或者全局安全组

无法将多元密码策略直接应用于一个OU之上

要对OU中的用户建立多元密码策略，应将密码策略应用于一个全局安全组，（逻

辑上映射到 OU的一个用户组，即shadow group影子组）。

用户从一个OU移动到另外的OU（为了用户受新移动到的OU上的密码策略控制或是不再

受原来OU的密码策略影响），你必须更新相应影子组的成员身份

三、部署条件

    多元密码策略部署要求有以下几点：

•      所有域控制器都必须是Windows Server 2008；
•      域功能级别为2008 Domain Functional Mode；
•     客户端无需任何变更；
•     如果一个用户和组有多个密码设置对象（PSO，可以把PSO理解为和组策略对  象GPO类似，通俗的理解为就是一条条的密码策略），那么优先级最小的PSO将最终生效;
•      多元密码策略只能应用于活动目录中的用户和全局安全组，而不能应用于活动目录中的计算机对象、非域内用户和组织单元OU

四、部署方式：

        Fine Grain Password Policy Tool

       Adsiedit.MSC工具创建密码配置对象

五、实战部署：

1.

 

2.

3.

 

4.

5.

6.

 

7.

.

8.

9.

 

 

10.

 

11.

 

12.

 

13.

 

14.

 

 

15.

 

16.

 

本文出自 “小懒猪” 博客，谢绝转载！