在Windows Server 2008密码策略中新增加了一个Fine-Grained密码及锁定策略特性。Fine-Grained密码策略允许对单个或多个组及用户单独设置密码及锁定策略,不过使用的前提是域功能级别必须是Windows Server 2008。Fine-Grained密码策略不会作为组策略的一部分被执行,它是活动目录中一个独立的对象类型,并通过密码对象设置(PSO,Password Setting Object)来维护Fine-Grained密码策略的设置。
一个PSO可以连接至多个组及用户,同样,单个组及用户也可以连接多个PSO。一个用户可以属于多个组。但是只有一个PSO决定密码及锁定策略。每个PSO都有一个优先级属性号码,数值是大于0的任意整数,1的优先级最高。如果多个PSO应用于同一个用户,则优先级最高的PSO生效。下面是决定优先级的规则:
· 如果多个PSOs应用于一个组,那么优先级最高的PSO生效。
· 直接连接至用户的PSO优先级高于连接至组的PSO(如果一个或多个PSOs直接应用于用户,则连接至组的PSOs忽略不计,不管它们的优先级是多少。)
· 如果一个或多个PSOs拥有相同的优先级号码,则GUID号码小的PSO生效。
PSOs可以应用于全局安全组或者用户,但是PSOs不能应用于域中的组织单位(OU)
设置PSO的步骤如下:
"Start"-->"Administrative Tools"-->"ADSI Edit"
验证是否成功应用到指定的安全组
