長久以來,微軟活動目錄中的賬戶只能配置同一個密碼策略。上到管理員賬戶,下到普通用戶的密碼策略都是一樣的。而且密碼策略只能在域級別配置生效。OU級別的密碼策略只會對該OU中計算機的本地賬戶生效。通常認為,管理員的賬戶密碼策略應該更為嚴格和復雜,而普通用戶的賬戶密碼策略相對來說並沒有那么重要。終於在Windows Server 2008的時候微軟引入了多元密碼策略Fine-Grained Password Policies(FGPP)來使得密碼策略配置更為靈活有效。不過在剛推出的時候FGPP的配置需要依賴於adsiedt這個工具,並沒有直觀的配置界面。從2012開始就有更人性化的配置方法了。
https://www.cnblogs.com/qishine/p/12072527.html
配置FGPP的先決條件還是一樣的,域功能級別必須在Windows 2008及以上。我們可以使用Active Directory Administrative Center(ADAC)很容易的來配置FGPP。在域名下找到System--Password Settings Container。
在中間空白部分新建一條密碼設置。
所有的設置和傳統組策略里配置的都一樣,並沒有更多的項目。然后再添加用戶或者組之后點擊確定。這條FGPP就算配置完了。FGPP可以應用於用戶也可以應用於安全組。
如果有多條FGPP應用於用戶或者組,優先級是這樣的。
1.應用於用戶的FGPP
2.應用於安全組的FGPP
3.域級別的組策略。
同一應用順序中有多條FGPP的,優先級Precedence小的生效。有多條FGPP具有相同優先級Precedence的,FGPP的GUID小的生效。
如果需要確定哪個FGPP對用戶生效,可以查看用戶屬性中的msDS-ResultantPSO這個屬性。需要注意的是,需要在ADUC中開啟高級功能,並直接點到用戶(查找出來的結果不行)才能看到attribute editor這個選項卡。然后要選中右下角Filter中的Constructed才能看到msDS-ResultantPSO這個屬性,其中寫了生效的PSO的具體DN。