精通Windows Server 2008 多元密码策略之LDIFDE篇

核心提示： msDS-PasswordSettingsPrecedence:1（该PSO的优先级）msDS-PSOAppliesTo:CN=PSOGroup,OU=TestOU,DC=Winos,DC=cn（GPO应用对象） 图1如图1所示，请确保不要在每行文本后有多余的空格，精通Windows Se

msDS-PasswordSettingsPrecedence:1

（该PSO的优先级）

msDS-PSOAppliesTo:CN=PSOGroup,OU=TestOU,DC=Winos,DC=cn

（GPO应用对象）

图1

如图1所示，请确保不要在每行文本后有多余的空格。

3. 在定义PSO属性的时候，有一些地方还得注意一下,额外的解释就没必要了，主要是一些逻辑上的注意点：

a. msDS-MinimumPasswordAge 的值必须小于或等于 msDS-MaximumPasswordAge 的值。

b.

msDS-LockoutObservationWindow 的值不能小于 msDS-LockoutDuration 的值。

c.

不能将 msDS-MaximumPasswordAge 的值设置为零。

4. 打开命令提示符，键入以下命令，如图2所示。

ldifde –i –f AdminPSO.ldf

图2

步骤 2：将 PSO 应用到用户和/或全局安全组

1.

在步骤1定义的文件AdminPSO.ldf中，有一个字段msDS-PSOAppliesTo:CN=PSOGroup,OU=TestOU,DC=Winos,DC=cn就表示将该PSO链接到具体的对象。如果想更改链接，可以将以下示例代码复制到一个文件（例如，ModifyAppliesTo.ldf）中，来指定你希望将什么 PSO 应用到哪些用户或全局安全组。例如我再新建一个用户lisi（他并不隶属于PSOGroup安全组），并将AdminPSO链接到他身上，如图3所示。

dn:CN=AdminPSO,CN=PasswordSettings Container,CN=System,DC=Winos,DC=cn