另一个误解是，在根域(ActiveDirectory林的初始域)中建立的帐户策略设置将向下流动或继承到林中的子域。这同样并非事实，通过这种方式是无法使设置起作用的。链接到域和某个域中OU的GPO不会影响其他域中的对象，即使 GPO 链接到的域是根域也是一样。使 GPO 设置影响其他域中对象的唯一方法是将GPO链接到ActiveDirectory 站点。

　　密码策略的改变

　　可以看到，Windows的当前版本处理用户帐户密码的方式简单直观。这包括一组适用于所有域帐户的密码规则，以及通过链接到ActiveDirectory中域节点的组策略对象来管理帐户策略的方式。随着Windows Server2008的到来，这一切就都被判出局了。

　　Windows Server 2008 以及一同推出的ActiveDirectory基础结构采用了另一种方法。将帐户策略置于GPO中只允许对所有域用户帐户设置一种策略，而现在已将这些设置移到了ActiveDirectory的更深部分。此外，帐户策略也不再基于计算机帐户。现在，您可以让个人用户和用户组来控制其密码限制。对于Windows管理员来说，这是一个全新的概念，毕竟我们长期以来一直在处理计算机帐户的帐户策略。

　　Windows Server 2008 中的帐户策略

　　在 Windows Server2008中，无需使用默认域策略建立帐户策略。实际上，您根本不会使用GPO为域用户帐户创建帐户策略。在 Windows Server2008中，会将您带到 ActiveDirectory数据库中进行修改。具体来说，您将使用一个类似于 ADSIEdit的工具来修改ActiveDirectory对象及其关联的属性。

　　进行此更改的原因是组策略并非针对同一域中的多个密码而设计。在WindowsServer2008中，每个域实现多个密码的功能非常棒，但并非每个人都觉得该功能使用起来很方便。不过，随着时间的推移，用于配置设置的界面将越来越易于访问。现在，您需要采用ActiveDirectory数据库设置工具对系统进行更改。

　　如果您倾向于使用其他方法来修改帐户策略设置，则不必使用ADSIEdit。您可以使用能够访问ActiveDirectory数据库的任何其他 LDAP 编辑工具，甚至可以使用脚本。在WindowsServer2008中实现密码策略后，就需要使用与过去截然不同的方法了。使用新功能意味着您需要考虑哪些用户和组要接受哪些密码设置。

　　您不但要考虑密码长度，还要考虑密码策略设置附带的其他一些限制，包括最短和最长使用期限、历史等。其他注意事项包括如何控制用户锁定策略设置和Kerberos设置。当前的帐户策略设置与在WindowsServer 2008中的ActiveDirectory数据库中配置的帐户策略设置存在一对一关系。但请注意，既然这些策略设置已是ActiveDirectory对象和属性，那么每个策略设置的名称也会与以前不同，这很重要。

　　要实现新密码设置，必须在密码设置容器下创建一个名为msDS-PasswordSettings的密码设置对象(PSO)，该容器的LDAP路径为“cn=PasswordSettings,cn=System,dc=domainname,dc=com”。请注意，所用域的域功能级别必须设置为WindowsServer2008。在此新对象下，您需要填写若干属性信息，如图3 所示。

　　Figure 3 Password attributes in Active Directory

　　Active Directory 属性名属性描述

　　msDS-PasswordSettingsPrecedence当同一用户在使用不同密码策略的多个组中具有成员资格时，建立优先次序。

　　msDS-PasswordReversibleEncryptionEnabled在是否启用可逆加密之间切换。

　　msDS-PasswordHistoryLength确定中间必须隔有多少个不重复的密码后，才能重用某个密码。

　　msDS-PasswordComplexityEnabled确定密码要求使用的字符数目和字符类型。

　　msDS-MinimumPasswordLength确定最短密码长度。

　　msDS-MinimumPasswordAge确定用户密码最短9 7 3 1 2 3 4 8 :

本文来源：不详 作者：佚名