Windows Server 2008 细粒度密码及锁定策略配置

在Windows Server 2008密码策略中新增加了一个Fine-Grained密码及锁定策略特性。Fine-Grained密码策略允许对单个或多个组及用户单独设置密码及锁定策略，不过使用的前提是域功能级别必须是Windows Server 2008。Fine-Grained密码策略不会作为组策略的一部分被执行，它是活动目录中一个独立的对象类型，并通过密码对象设置（PSO，Password Setting Object）来维护Fine-Grained密码策略的设置。

一个PSO可以连接至多个组及用户，同样，单个组及用户也可以连接多个PSO。一个用户可以属于多个组。但是只有一个PSO决定密码及锁定策略。每个PSO都有一个优先级属性号码，数值是大于0的任意整数，1的优先级最高。如果多个PSO应用于同一个用户，则优先级最高的PSO生效。下面是决定优先级的规则：

・ 如果多个PSOs应用于一个组，那么优先级最高的PSO生效。

・ 直接连接至用户的PSO优先级高于连接至组的PSO（如果一个或多个PSOs直接应用于用户，则连接至组的PSOs忽略不计，不管它们的优先级是多少。）

・ 如果一个或多个PSOs拥有相同的优先级号码，则GUID号码小的PSO生效。

    PSOs可以应用于全局安全组或者用户，但是PSOs不能应用于域中的组织单位（OU）

设置PSO的步骤如下：

"Start"-->"Administrative Tools"-->"ADSI Edit"

验证是否成功应用到指定的安全组