長久以來,微軟活動目錄中的賬戶只能配置同一個密碼策略。上到管理員賬戶,下到普通用戶的密碼策略都是一樣的。而且密碼策略只能在域級別配置生效。OU級別的密碼策略只會對該OU中計算機的本地賬戶生效。通常認爲,管理員的賬戶密碼策略應該更爲嚴格和複雜,而普通用戶的賬戶密碼策略相對來說並沒有那麼重要。終於在Windows Server 2008的時候微軟引入了多元密碼策略Fine-Grained Password Policies(FGPP)來使得密碼策略配置更爲靈活有效。不過在剛推出的時候FGPP的配置需要依賴於adsiedt這個工具,並沒有直觀的配置界面。從2012開始就有更人性化的配置方法了。
配置FGPP的先決條件還是一樣的,域功能級別必須在Windows 2008及以上。我們可以使用Active Directory Administrative Center(ADAC)很容易的來配置FGPP。在域名下找到System--Password Settings Container。如果看不到圖,請點我。
在中間空白部分新建一條密碼設置。
所有的設置和傳統組策略裏配置的都一樣,並沒有更多的項目。然後再添加用戶或者組之後點擊確定。這條FGPP就算配置完了。FGPP可以應用於用戶也可以應用於安全組。
如果有多條FGPP應用於用戶或者組,優先級是這樣的。
1.應用於用戶的FGPP
2.應用於安全組的FGPP
3.域級別的組策略。
同一應用順序中有多條FGPP的,優先級Precedence小的生效。有多條FGPP具有相同優先級Precedence的,FGPP的GUID小的生效。
如果需要確定哪個FGPP對用戶生效,可以查看用戶屬性中的msDS-ResultantPSO這個屬性。需要注意的是,需要在ADUC中開啓高級功能,並直接點到用戶(查找出來的結果不行)才能看到attribute editor這個選項卡。然後要選中右下角Filter中的Constructed才能看到msDS-ResultantPSO這個屬性,其中寫了生效的PSO的具體DN。
