Windows2008的AD域的多元密码策略众所周之，Windows2000或2003的AD域上，密码策略只能指派到域(Site)上，不能单独应用于活动目录中的对象。换句话说，密码策略在域级别起作用，而且一个域只能有一套密码策略。统一的密码策略虽然大大提高了安全性，但是提高了域用户使用的复杂度。举个例子来说，企业管理员的帐户安全性要求很高，需要超强策略，比如密码需要一定长度、需要每两周更改管理员密码而且不能使用上几次的密码;但是普通的域用户并不需要如此高的密码策略，也不希望经常更改密码并使用很长的密码，超强的密码策略并不适合他们。为解决这个问题，在Windows2008的AD域中引入了多元密码策略(Fine-GrainedPasswordPolicy)的概念。多元密码策略允许针对不同用户或全局安全组应用不同的密码策略，例如:A.可以为管理员组指派超强密码策略，密码16位以上、两周过期;B.为服务帐号指派中等密码策略，密码30天过期，不配置密码锁定策略;C.为普通域用户指派密码90天过期等。多元密码策略的诞生，满足了不同用户对于安全性的不同要求。多元密码策略虽然满足了不同级别用户对于密码安全性的要求，但是配置多个密码策略为管理员增加了管理复杂度，管理起来也不是很方便，所谓鱼和熊掌不可兼得。而我写这篇文章的初衷就是帮朋友尽快熟悉起这个功能，鱼和熊掌，我欲兼得！一、部署条件多元密码策略部署要求有以下几点：A.所有域控制器都必须是WindowsServer2008；B.域功能级别为2008DomainFunctionalMode；C.客户端无需任何变更；D.如果一个用户和组有多个密码设置对象（PSO，可以把PSO理解为和组策略对象GPO类似，通俗的理解为就是一条条的密码策略），那么优先级最小的PSO将最终生效;E.多元密码策略只能应用于活动目录中的用户和全局安全组，而不能应用于活动目录中的计算机对象、非域内用户和组织单元OU。二、部署实战我将通过实战方式向大家介绍如何通过ADSIEDIT、LDIFDE以及第三方工具FGPP、Quese公司出品的针对AD的PowerShell来实现、管理多元密码策略。主要的操作步骤如下：步骤1：创建PSO步骤2：将PSO应用到用户和/或全局安全组步骤3：管理PSO步骤4：查看用户或全局安全组的结果PSO步骤5：验证结果步骤1：使用ADSIEDIT工具，创建PSO1.在DC上打开“活动目录用户和计算机”，创建一个名为”TestOU”的OU，然后在该OU里面建立一个名为张三的用户和一个名为PSOGroup的全局安全组，再把张三加入该组中。2.在DC上输入adsiedit.msc工具，选择“默认命名上下文”，展开CN=System至CN=PasswordSettingsContainer，右击选择“新建\对象”；3.在“新建对象”界面中，点击“下一步”；4.在“值”中，输入“AdminPSO”（为这个密码策略取名），并单击“下一步”；5.接下来修改msDS-PasswordSettingsPrecedence属性。在“值”中，输入“1”（设置密码策略的优先级），并单击“下一步”；6.接下来修改msDS-PasswordReversibleEncryptionEnabled属性。在“值”中，输入“False”（是否启用用户帐户的密码可还原的加密状态），并单击“下一步”；7.接下来修改msDS-PasswordHistoryLength属性，也就是设置用户帐户的密码历史长度。在“值”中，输入“3”，并单击“下一步”；8.接下来修改msDS-PasswordComplexityEnabled属性，也就是是启用户帐户的密码复杂性要求。在“值”中，输入“TRUE”，并单击“下一步”；9.接下来修改msDS-MinimumPasswordLength属性，也就是设置用户帐户的最短密码长度。在“值”中，输入“16”，并单击“下一步”；10.接下来修改msDS-MinimumPasswordAge属性，也就是设置用户帐户密码的最短使用期限。默认必须是使用1天后才能再次更改密码。可以接受输入的格式为00:00:00:00。这4段分别表示为多少天、多少小时，多少分，多少秒。在“值”中，输入“00:00:00:00”，并单击“下一步”；11.接下来修改msDS-MaximumPasswordAge属性，也就是设置用户帐户的最长密码期限。默认是42天。在“值”中，输入“15:00:00:00”，并单击“下一步”；12.接下来修改msDS-LockoutThreshold属性，也就是设置用户帐户锁定的锁定阈值。默认没有限制。可以接受的输入范围是0到65535。在“值”中，输入“3”，并单击“下一步”；13.接下来修改msDS-Lock