为部门单独设定密码策略

    用户今天有一个需求，要给一个ou设置单独的密码策略，他们的Windows Server服务器版本是2008R2企业版，因为密码策略只能在默认域策略中定义，没法对单个特定的用户组设定密码策略，Server 2008以后多了一个新的功能，有两种叫法，多元化密码策略和颗粒化密码策略

    用户需求很简单，让他们应用组的成员不要继承默认的密码策略，默认的是90天修改密码，阈值5次，修改成999天，阈值999，感受就跟开玩笑同样

下面用我测试环境进行操做，最后说一个实际操做中遇到的问题

= = 新建一个安全组，密码策略须要依靠安全组来实现

而后将sijia加入Password安全组中

= = 打开ADSI编辑器，建立新的对象，如今就是在建立一条单独的密码策略

1）键入密码策略名称

2）注意语法类型是整数类型，0-9数字，不能够出现小数点

3）布尔型，只能出现True 或 False，用可还原的加密存储密码，选择False

4）密码历史长度，好比密码历史长度设置为1，你此次使用了密码123，下次修改密码时密码不能够是123，第二次修改密码时才能够继续使用123

5）密码复杂性，选择False

6）最小密码长度，我这里选择的8，后续能够更改

7）语法是持续时间，必须以天:时:分:秒的格式输入，我输入的998

8）最短期和最大时间不能够一致，最大设置998

9）用户多少次错误密码锁定帐户

10）帐户锁定持续时间，设置的是一秒

11）帐户解除阀值时间，也是一秒

12）完成后打开对象属性，找到msDS-PSAppliesTo这个值

13）将建立好的安全组添加到值中，记住开始我将用户已经添加到了安全组中

14）为了方便测试，我将最短密码长度修改成1

= = 测试密码测试是否生效

1）我以前将最短密码长度修改成1，因为域内非Password安全组的用户仍是继承域密码策略的，仍是具备密码复杂性，不能修改密码

2）sijia这个用户是Password安全组中的用户

3）使用1位数密码修改为功，说明密码策略是生效的

= = 用户生产环境应用密码策略遇到的问题

1）在建立完密码策略时，反复测试密码策略不生效，排除了建立的值得问题，只要写对语法建立完成时就不会报错，好比整数型 输入1-9的数字，布尔型 输入 True或False， 持续时间 输入 天:时:分:秒

2）还有一个可能就是用户的域级别不是2008，后来查看用户域级别发现是2003

须要提高域功能级别，这里确定有人会问，提高林和域级别会不会对生产环境和用户环境形成影响，答案是不会，除非你域中有03的域控，域级别和林级别提高后，就不支持03域控了，此外，没有其余风险

3）提高林功能级别

4）提高域功能级别

5）提高后，用户反应策略已经生效...