开发学院操作系统 windows 2008 Windows Server 2008 fine-grained密码策略阅读

Windows Server 2008 fine-grained密码策略

　2008-08-30 12:40:12　来源：WEB开发网　　　

核心提示：Windows Server 2008 操作系统为组织提供一个方法，可以为域中的不同集合的用户定义不同的密码和账号锁定策略，Windows Server 2008 fine-grained密码策略，在Microsoft Windows 2000和Windows Server 2003 活动目录域中，只能有一个密码策略和

Windows Server 2008 操作系统为组织提供一个方法，可以为域中的不同集合的用户定义不同的密码和账号锁定策略。在Microsoft Windows 2000和Windows Server 2003 活动目录域中，只能有一个密码策略和账号锁定策略应用到域中的所有的用户。这些策略在域的缺省的域策略中指定。结果是，那些想为不同集合的用户定义不同的密码和账号锁定策略的组织只能创建密码过滤器或部署多个域来实现。由于不同的原因这些方法的成本都很高。

Fine-grained 密码策略能够做什么？

您能够使用fine-grained 密码策略在一个域中指定多个密码策略。您能够使用Fine-grained 密码策略来将不同的密码和账号锁定策略应用到域中不同集合的用户。

例如，您能够将更严格的设置应用到特权账号，不太严格的设置应用其他账号。在其他的情况中，您也许想为这样的账号应用一个指定的密码策略，它们的密码和其他数据源要同步。

应用该策略之前要考虑的事情

Fine-grained 策略只能应用于用户对象（或inetOrgPerson 对象如果使用它而不是用户对象的话）和全局安全组。在缺省情况下，只有Domain Admins 组中的成员能够设置Fine-grained 密码策略。然而，您可以将该权限委派给其他用户。域的功能级别必须是Windows Server 2008。

Fine-grained 密码策略不能直接应用到组织单位（OU）。要将Fine-grained 密码策略应用到OU中的用户，您可以使用一个影子组。

影子组是一个全局安全组，该组逻辑上映射到一个OU来强制密码策略。您能够将OU中的用户添加到新创建的影子组中，然后应用Fine-grained 密码策略到该影子组。您也可以为其他的OU创建额外的影子组。如果您将用户从一个OU移动到另外一个OU，您必须更新对应的影子组的成员。

Fine-grained 密码策略不会干涉同一个域中自定义的密码过滤器。那些部署了自定义的密码过滤器到运行Windows 2000 或Windows Server 2003的域控制器的单位，能够使用这些密码过滤器来为密码做额外的增强限制。

该特性能够提供哪些新的功能？

存储Fine-grained 密码策略

要存储Fine-grained 密码策略，Windows Server 2008 在活动目录目录服务架构中包含了两个新的对象：

o Password Settings Container

o Password Settings

Password Settings Container （PSC）在缺省情况下被创建在域的System 容器中。您可以通过活动目录用户和计算机管理工具，选种高级特性选项来查看它。它存储域的Password Settings objects (PSOs) 。

您不能重命名、移动或删除该容器。尽管您可以创建额外的自定义的PSCs ，它们不会被考虑当策略的结果集在计算对象的时候。因此，这也不是推荐的做法。

PSO 的属性的设置能够在Default Domain Policy（除Kerberos设置外）中设置。这些设置包括下面这些密码设置属性。

o Enforce password history