二、密码策略
　　
    Windows Server 2008 为组织提供了一种方法，使得组织能在某一域中针对不同的用户集来定义不同的密码和账号锁定策略。
   细致灵活的密码策略能干什么？

    你能够使用细致灵活的密码策略在同一个域内指定多样化的密码策略。同时你也你能够使用细致灵活的密码策略对同一域内的不同用户集应用不同的密码和账号锁定策略限制。

   这项特性提供了什么新功能？

    密码设置容器默认被创建在域的系统（System）容器下。你能够通过使用活动目录用户与计算机管理单元并启用高级特性来查看。它为域储存了密码设置对象（Password Settings objects 一下简称PSOs）。
 
    你不能够重命名，移动，或者删除这个容器。尽管你能够创建额外的自定义的密码设置容器，它们不被针对一个对象计算的组策略结果集计算在内。因此创建额外的自定义的密码设置容器不被推荐。
 
    密码设置对像包含了能在默认域策略中定义的所有属性设置（除了Kerberos设置）。这些设置包含了以下密码设置属性：

    • 强制密码历史
    • 密码最长使用期限
    • 密码最短使用期限
    • 密码长度最小值
    • 密码必须符合复杂性要求
    • 用可还原的加密来储存密码

    这些设定也包含了以下的账户锁定设置

    • 账户锁定时间
    • 账户锁定阈值
    • 复位账户锁定计数器

    另外，PSO也包含了以下两个新属性：

    • PSO链接（PSO Link）：这是链接到用户或者组对象的多值属性
    • 优先（Precedence）：这是一个用来解决多个PSO被应用到单个用户或组对象产生冲突时的整数值

   这九个属性值必须被定义，缺一不可。来自多个PSO的设置不能被合并。

    使用图形界面（adsiedit.msc）建立PSO

    1. 单击开始按钮，单击运行，输入 adsiedit.msc ，单击确定。
    *如果你是在DC上第一次运行adsiedit.msc，请继续看第二步，不是的话跳到第四步。
    2. 在ADSI EDIT界面中，右击ADSI Edit，再单击连接到。
    3. 在Name属性框中输入你想要创建PSO的域的完全合格域名（FQDN），然后单击确定。
    4. 双击域。
    5. 双击DC=<域名> 。
    6. 双击CN=System 。
    7. 右击 CN=Password Settings Container，单击新建，再单击对象 。
    8. 在创建对象对话框中，选择msDS-PasswordSettings，单击下一步 。
    9. 输入PSO的名称，单击下一步，根据向导，输入必备属性。
    10. 在向导的最后一页，单击更多属性。
    11. 在选择查看何种属性菜单中，单击可选或者两者 。
    12. 在选择一种属性进行查看的下拉菜单中，选择msDS-PSOAppliesTo。
    13. 在编辑属性中，添加需要应用PSO的用户和全局安全组的相对可分辨名称 。
    14. 重复第13步，如果你需要将PSO应用到多个用户和全局安全组。
    15. 单击完成 。