创建细粒度的密码策略

创建细粒度密码策略 在本文中，我们将看到创建细粒度密码策略 (FGPP) 的步骤。在 Microsoft Windows 2000 和 Windows Server 2003 Active Directory 域中，您只能对域中的所有用户应用一种在域的默认域策略中指定的密码和帐户锁定策略。因此，如果您希望为不同的用户组设置不同的密码和帐户锁定设置，则必须创建密码过滤器或部署多个域。由于不同的原因，这两种选择的成本都很高。从 Windows Server 2008 开始，您可以使用细粒度的密码策略来指定多个密码策略，并对单个域中的不同用户组应用不同的密码限制和帐户锁定策略。

创建细粒度的密码策略

在这篇文章中，我们将了解在 Windows Server 2012 R2 域控制器上创建细粒度密码策略的步骤。创建 FGPP 后，我们会将其应用到名为笔记本电脑用户的组。这是一个由少数用户组成的测试组。我发现在 Windows Server 2012 R2 上运行的域控制器上配置 FGPP 比 Windows Server 2008 R2 更容易。

要创建 FGPP，请使用域管理员帐户登录域控制器，然后点击服务器管理器。要启用细粒度密码策略 (FGPP)，您需要打开 Active Directory 管理中心 (ADAC)，切换到树视图并导航到系统，密码设置容器。右键单击“密码设置容器”对象并选择新建，然后单击密码设置。

为密码策略提供名称。将优先级属性值设置为2。对于其余设置，请使用适当的数据填充所有设置。

[vc_row][vc_column][TS_VCSC_Info_Notice panel_type=”警告” panel_icon=”ts-awesome-hand-o-right” panel_title=”注意” font_title_family=”默认：常规” font_content_family=”默认：常规” el_file1=””]根据 Microsoft，优先级属性的较低值表示 PSO 比其他 PSO 具有更高的排名或更高的优先级。例如，假设一个对象有两个链接到它的 PSO。一个 PSO 的优先级值为 2，另一个 PSO 的优先级值为 4。在这种情况下，优先级值为 2 的 PSO 具有更高的等级，因此应用于该对象。[/TS_VCSC_Info_Notice] [/vc_列][/vc_行]

现在，您需要将此 PSO 应用于名为 笔记本电脑用户 的组。单击添加并浏览组，然后单击确定。

要查看用户生成的 PSO，请打开“Active Directory 用户和计算机”。 在“查看”菜单上，确保选中高级功能。在控制台树中，单击用户。 在详细信息窗格中，右键单击要查看生成的 PSO 的用户帐户，然后单击属性。单击属性编辑器选项卡，然后点击过滤。确保选中显示属性/可选复选框。确保选中显示只读属性/构造复选框。在“属性”列表中找到 msDS-ResultantPSO 属性的值。

您还可以使用 dsget 命令从命令行查看用户生成的 PSO。打开命令提示符并键入以下命令，然后按ENTER。

dsget user <User-DN> -effectivepso

在下面的屏幕截图中，我们看到应用了 FGPP。用户尝试将密码更改为简单密码，但他收到错误，因为我们确实在策略中指定了密码必须满足复杂性要求。