爲部門單獨設定密碼策略

    用戶今天有一個需求，要給一個ou設置單獨的密碼策略，他們的Windows Server服務器版本是2008R2企業版，因爲密碼策略只能在默認域策略中定義，沒法對單個特定的用戶組設定密碼策略，Server 2008以後多了一個新的功能，有兩種叫法，多元化密碼策略和顆粒化密碼策略

    用戶需求很簡單，讓他們應用組的成員不要繼承默認的密碼策略，默認的是90天修改密碼，閾值5次，修改成999天，閾值999，感受就跟開玩笑同樣

下面用我測試環境進行操做，最後說一個實際操做中遇到的問題

= = 新建一個安全組，密碼策略須要依靠安全組來實現

而後將sijia加入Password安全組中

= = 打開ADSI編輯器，建立新的對象，如今就是在建立一條單獨的密碼策略

1）鍵入密碼策略名稱

2）注意語法類型是整數類型，0-9數字，不能夠出現小數點

3）布爾型，只能出現True 或 False，用可還原的加密存儲密碼，選擇False

4）密碼歷史長度，好比密碼歷史長度設置爲1，你此次使用了密碼123，下次修改密碼時密碼不能夠是123，第二次修改密碼時才能夠繼續使用123

5）密碼複雜性，選擇False

6）最小密碼長度，我這裏選擇的8，後續能夠更改

7）語法是持續時間，必須以天:時:分:秒的格式輸入，我輸入的998

8）最短期和最大時間不能夠一致，最大設置998

9）用戶多少次錯誤密碼鎖定帳戶

10）帳戶鎖定持續時間，設置的是一秒

11）帳戶解除閥值時間，也是一秒

12）完成後打開對象屬性，找到msDS-PSAppliesTo這個值

13）將建立好的安全組添加到值中，記住開始我將用戶已經添加到了安全組中

14）爲了方便測試，我將最短密碼長度修改成1

= = 測試密碼測試是否生效

1）我以前將最短密碼長度修改成1，因爲域內非Password安全組的用戶仍是繼承域密碼策略的，仍是具備密碼複雜性，不能修改密碼

2）sijia這個用戶是Password安全組中的用戶

3）使用1位數密碼修改爲功，說明密碼策略是生效的

= = 用戶生產環境應用密碼策略遇到的問題

1）在建立完密碼策略時，反覆測試密碼策略不生效，排除了建立的值得問題，只要寫對語法建立完成時就不會報錯，好比整數型 輸入1-9的數字，布爾型 輸入 True或False， 持續時間 輸入 天:時:分:秒

2）還有一個可能就是用戶的域級別不是2008，後來查看用戶域級別發現是2003

須要提高域功能級別，這裏確定有人會問，提高林和域級別會不會對生產環境和用戶環境形成影響，答案是不會，除非你域中有03的域控，域級別和林級別提高後，就不支持03域控了，此外，沒有其餘風險

3）提高林功能級別

4）提高域功能級別

5）提高後，用戶反應策略已經生效...