【IT168技术文档】


  Windows Server 2008 为组织提供了一种方法，使得组织能在某一域中针对不同的用户集来定义不同的密码和账号锁定策略。在Windows 2000及Windows Server 2003的活动目录域中，只有一种密码和账户锁定策略能被应用到域中的所有用户。这些策略被定义在默认的域策略中。因此，希望针对不同的用户集采取不同的密码及账户锁定组织不得不建立密码策略筛选器或者部署多个域。这些选择会因为不同的原因而照成高昂的代价。

  颗粒化的密码策略能干什么？

  你能够使用颗粒化的密码策略在同一个域内指定多样化的密码策略。你能够使用颗粒化的密码策略对同一域内的不同用户集应用不同的密码和账号锁定策略限制。

  举例来说，你能够针对特权账号使用严密的设定，而对其它用户使用不太严密的设定。在其他场景中，比如你希望对密码与其它数据源同步的账号应用特殊的策略。

  还有其它要特别考虑的吗？

  颗粒化的密码策略值应用于用户对象（或者用来替代用户对象的inetOrgPerson对象）以及全局安全组。在默认情况下，只有Domain Admins组的成员才能设置本策略。然而，你也能够委派其他用户来设置此策略。但是域功能级必须是Windows Server 2008。

  颗粒化的密码策略不能被直接应用到OU。但是为了达到此目的，你可以使用影子组。

  影子组实质上是全局安全组，在逻辑上被映射到OU，用来强化颗粒化密码策略。你向OU添加用户就好像向影子组添加成员一样，随后将颗粒化密码策略应用到影子组。你能够根据你的需要为其它OU创建偶外的影子组。如果你从一个OU向另一个OU移动用户，那么你必须将账户组成员属性更新到对应的影子组。

  颗粒化的密码策略不受你必须在同一域中应用的自定义的密码策略筛选器的影响。将自定义的密码策略筛选器部署到使用Windows 2000 or Windows Server 2003作为域控制器的组织，能够继续使用这些筛选器来强化额外的密码限制。

  这项特性提供了什么新功能？

  储存颗粒化密码策略

  为了储存颗粒化密码策略，Windows Server 2008在AD DS架构中包含了两个新的对象类：

　　密码设置容器（Password Settings Container）

　　密码设置（Password Settings）

  密码设置容器默认被创建在域的系统容器下。你能够通过使用活动目录用户与计算并启用高级特性来查看。它为域储存了密码设置对象（Password Settings objects 一下简称PSOs）。

  你不能够重命名，移动，或者删除这个容器。尽管你能够创建额外的自定义的密码设置容器，他们不被针对一个对象计算的组策略结果集计算在内。因此创建额外的自定义的密码设置容器不被推荐。

  密码设置对像包含了能在默认域策略中定义的所有属性设置（除了Kerberos设置）。这些设置包含了以下密码设置属性：

　　　　强制密码历史
　　　　密码最长使用期限
　　　　密码最短使用期限
　　　　密码长度最小值
　　　　密码必须符合复杂性要求
　　　　用可还原的加密来储存密码

  这些设定也包含了以下的账户锁定设置

　　　　账户锁定时间
　　　　账户锁定阈值
　　　　复位账户锁定计数器