WindowsServer2008R2之十三颗粒化密码策略VIP免费

Windows Server 2008 R2 之十三颗粒化密码策略 相对于以前的活动目录只提供一种密码和帐号锁定策略的状态，Windows Server 2008 提供更为灵活的Fine Gained Password(粒化密码策略)。它能够让我们在一个域中指定多个密码策略，能够使用Fine-grained 密码策略来将不同的密码和账号锁定策略应用到域中不同集合的用户。 要存储Fine-grained 密码策略，Windows Server 2008 在活动目录目录服务架构中包含了两个新的对象： 1、Password Settings Container（密码设置容器） 2、Password Settings（密码设置） Password Settings Container （PSC）在缺省情况下被创建在域的System 容器中。可以通过活动目录用户和计算机管理工具，选种高级特性选项来查看它。它存储域的Password Settings objects (PSOs) 。 我们不能重命名、移动或删除该容器。尽管您可以创建额外的自定义的PSCs ，它们不会被考虑当策略的结果集在计算对象的时候。因此，这也不是推荐的做法。 PSO 的属性的设置能够在Default Domain Policy（除 Kerberos 设置外）中设置。这些设置包括下面这些密码设置属性： 1、 Enforce password history（强制密码历史） 2、 Maximum password age（密码最长使用期限） 3、 Minimum password age（密码最短使用期限） 4、 Minimum password length（密码最短长度） 5、 Passwords must meet complexity requirements（密码必须符合复杂性） 6、 Store passwords using reversible encryption（用可还原的加密来储存密码） 这些设置也包含下面这些账号锁定设置属性： 1、 Account lockout duration（密码锁定时间） 2、 Account lockout threshold（密码锁定阀值） 3、 Reset account lockout after（复位帐号锁定计算器） 此外，PSO 还有下面两个新的属性： 1、PSO link（PSO 链接）。这是一个多值属性，它可以被链接到用户或组对象上。 2、Precedence（优先）。 这是一整数值，用来解决冲突，如果多个PSO 被应用到一个用户或组对象上。 这九个属性是 mustHave 属性。意思是您必须为每个属性定义一个值。来自多个PSO 的设置不能被合并。 定义 fine-grained 密码策略的范围 PSO 能够被链接到和PSO 位于同一个域的用户（或 inetOrgPerson）或组对象。 PSO 有一个名称为msDS-PSOAppliesTo 的属性，它包含了只到用户或组的正向链接。msDS-PSOApp...