如果您运行的是 Windows? 域当前的任意版本(Windows NT?、Windows2000ActiveDirectory?或 WindowsServer?2003ActiveDirectory)，就会受到每个域只能有一个密码策略的限制。事实上，对您产生限制的不仅是密码策略，而且还有帐户策略涵盖的范围更广的设置。图1显示了这些策略和设置。

　　Figure 1 Account policies

　　密码策略

　　强制密码历史

　　密码最长使用期限

　　密码最短使用期限

　　最短密码长度

　　密码必须满足复杂性要求

　　使用可逆加密存储密码

　　帐户锁定策略

　　帐户锁定时间

　　帐户锁定域值

　　重置帐户锁定计数器之前经过的时间...

　　Kerberos 策略

　　强制用户登录限制

　　服务票证最长寿命

　　用户票证最长寿命

　　用户票证续订最长寿命

　　计算机时钟同步的最大容差

　　默认情况下，这些策略设置适用于与域相关联的所有域帐户和用户帐户。这是因为组策略是沿着ActiveDirectory结构向下继承的。为了更好地认识这些策略如何影响域帐户和本地用户帐户，了解以下两点非常重要：这些策略的设置位置，以及组策略的继承方式如何影响所有不同的用户帐户。(请注意，Kerberos策略设置仅适用于域用户帐户，这是因为只有域用户帐户使用Kerberos进行身份验证。本地用户帐户使用NTLMv2、NTLM 或LM 进行身份验证。)

　　设置帐户策略

　　在 Active Directory内部，组策略建立并控制整个域的帐户策略。这是在首次安装ActiveDirectory域时发生的，并且是通过获得链接到 ActiveDirectory 中域节点的默认组策略对象 (GPO)完成的。此GPO名为默认域策略，具有帐户策略的所有三部分的默认配置。图 2显示了 WindowsServer2003域中密码策略项初始设置的完整列表。

　　Figure 2 Default password policies for WindowsServer2003domain(单击该图像获得较大视图)

　　此GPO中的设置控制所有域用户帐户以及每台域计算机的帐户策略。请记住，所有域计算机(台式机和服务器)都具有本地安全帐户管理器(SAM)，这很重要。此默认GPO中的设置控制的就是这一SAM。当然，本地 SAM 也包含每台计算机的本地用户帐户。

　　通过 GPO 沿着 ActiveDirectory结构向下进行的正常继承，默认域策略中的设置可影响所有域计算机。由于此GPO链接到域节点，所以它将影响此域中的所有计算机帐户。

　　无法对当前密码策略执行的操作

　　关于 Active Directory(在WindowsServer2003中)的当前实现，目前仍存在对密码控制的许多误解，尽管经过了多年的严格测试，也未找到证据证明那些误解是对的。很明显(或应该说)，策略是无法通过设计以外的其他方式起作用的。

　　也就是说，很多管理员都相信，可以为同一域中的多个用户设置多个密码策略。他们认为您可以创建一个GPO，并将其链接到某个组织单位(OU)。该思想是将用户帐户移到OU以使GPO影响这些对象。在GPO内部，对帐户策略进行修改以创建更安全的密码策略(可能是通过将最大密码长度设置为14实现此目的)。但是，由于一些原因，此配置永远达不到期望的结果。首先，密码策略设置是基于计算机而非基于用户的策略。有了这种设置的前提条件之后，设置将永远无法影响用户帐户。其次，修改域用户帐户的帐户策略设置只有一种方法，即在链接到该域的GPO内部进行修改。链接到OU且被配置为更改帐户策略设置的那些 GPO，会修改驻留在 OU 中(或在链接的 OU 的子OU中)计9 7 3 1 2 3 4 8 :

本文来源：不详 作者：佚名