老生常谈一下在AD中细粒度设置密码策略

组策略配置问题

今天组里有个哥们遇见个问题，他需要给一些新建的管理账户设置一个专门的密码策略。他模仿defaut domain policy里面的设置，创建了个新的，然后应用到对应的OU上。听起来好像很合理的操作，但是居然不工作。

貌似正确的配置，其实不工作





这个问题其实是涉及到了在AD里面如何细粒度地给一部分人设定特殊的密码策略。在GPO里面，一般设置密码策略的时候，大家都习惯部署在根部节点上，或者更省事的话就是直接在default domain policy里面修改了。细粒度的设置过程不一样，他不是在group policy managment这个工具里面修改，而是在ADSIEdit或者Active Directory Administrative Center （ADAC）里面修改。

正确打开姿势：

以ADSIEdit为例：

打开ADSIEdit->CN=SYSTEM->CN=Password Settings Container, 选择新建一个Object



取个名字



这个对象的前缀，以便和其他的区分（比如某用户应用了N多个的话）



密码历史记录个数



是否启用密码复杂度



密码最小长度



密码最短天数



密码最长天数



失败几次锁住账号



上锁观察期



上锁长度



结束



创建好的对象



修改msDS-PSOAppliesTo属性



分配对应的安全组即可

测试

搞定以后随便登录一个服务器看看，提示修改密码，成功



最后，在ADAC里面打开，可以看见同样的配置内容