msDS-MaximumPasswordAge确定密码最长使用多久后会要求用户更改密码。

　　msDS-LockoutThreshold确定锁定用户帐户前允许的密码尝试失败次数。

　　msDS-LockoutObservationWindow确定密码计数器出现错误后多长时间进行重置。

　　msDS-LockoutDuration确定密码尝试失败次数过多导致帐户锁定后，帐户的锁定时长。

　　可以看到，与帐户策略设置相关的所有组策略设置都会作为属性复制。请注意，还存在一个优先设置;这对于在同一域中实现多个密码至关重要，这是因为必然会产生一些冲突，需要有处理这些冲突的机制。

　　目标帐户策略设置

　　对于创建的每个对象，都需要填写所有的属性才能针对每位用户创建帐户策略。这里有个新属性msDS-PSOAppliesTo，用于确定哪些对象将接收这组策略设置。这是关键属性，通过它可以将特定设置分配给特定用户。此属性下的列表可以是用户也可以是组，但对于建立访问控制列表的情形而言，则最好使用组，而不是用户。因为组更稳定，更容易找到，而且处理起来通常容易得多。

　　起立欢呼

　　数年来，我们一直希望能够在同一ActiveDirectory域中使用多个密码，现在终于实现了。从密码的角度而言，整个域中的每一个用户都处于同一安全级别的情形已经一去不复返了。例如，现在您能够为普通用户设置8个字符的密码，而为IT专业人员(可能具有管理员权限)设置复杂一些的 14 个字符的密码。

　　要想习惯使用ActiveDirectory数据库建立或修改帐户策略设置，会花费一些时间。但值得庆幸的是，新设置仿效了您熟悉的设置。当您开始使用WindowsServer2008后，请务必立即研究这些新设置，因为这些肯定是属于您首先完成的配置。

　　编辑推荐

　　微软Windows Server 2008因安全再度延期

　　windows server 2008虚拟化技术一览

　　避免攻击：Windows Server 2008安全指南