Windows Server 2008 Active Directory 域服务新增功能

新策略使用组将精准的密码策略应用于用户。您先在 CN=密码设置容器、CN=系统、DC= 容器中创建新 msDS-PasswordSettings 对象来定义精准密码策略。msDS-PasswordSettings 对象（简称 PSO）包含与“组策略”中的密码策略设置平行的属性（请参见图 7）。

Figure 7 mSDS-PasswordSettings 对象中的属性

随后，您可通过将用户或组名称添加到 PSO 的多值 mDS-PSOAppliesTo 属性中为用户或组指派密码策略。一旦您接受不向 OU 应用密码策略这一观念，会非常易于实施。但在其他方面还有一些复杂。

用户通常是许多组的成员。因此，如果由于这些组成员关系导致了用户产生多项相互冲突的密码策略，那又将如何呢？在这种情况下，ADDS 使用优先级评估来确定应用哪个密码策略。其工作原理如下所示：

1. 如果密码策略直接链接用户对象（而不是通过组成员关系），将应用该密码策略。

2. 如果多个密码策略直接与用户链接，将应用优先权值最小（由 PSO 的 msDS-PasswordSettingsPrecendence 属性值确定）的策略。

3. 如果多个 PSO 的优先权相同，将应用 objectGUID 值最小的那个 PSO。

4. 如果没有 PSO 与用户直接链接，ADDS 将评估与用户组相链接的 PSO。如果有多个 PSO，将应用 msDS-PasswordSettingsPrecedence 属性中值最小的那个 PSO。

5. 如果多个 PSO 的优先权值相同，将应用 objectGUID 值最小的那个 PSO。

6. 如果没有 PSO 与用户相关联，将使用域密码策略。

用户对象有一个名为 msDS-ResultantPSO 的新属性，协助精确排序应用给用户的 PSO。此属性包含控制该用户密码的 PSO 的独有名称。