今天組裏有個哥們遇見個問題，他需要給一些新建的管理賬戶設置一個專門的密碼策略。他模仿defaut domain policy裏面的設置，創建了個新的，然後應用到對應的OU上。聽起來好像很合理的操作，但是居然不工作。

貌似正確的配置，其實不工作

這個問題其實是涉及到了在AD裏面如何細粒度地給一部分人設定特殊的密碼策略。在GPO裏面，一般設置密碼策略的時候，大家都習慣部署在根部節點上，或者更省事的話就是直接在default domain policy裏面修改了。細粒度的設置過程不一樣，他不是在group policy managment這個工具裏面修改，而是在ADSIEdit或者Active Directory Administrative Center （ADAC）裏面修改。

正確打開姿勢：

以ADSIEdit為例：

打開ADSIEdit->CN=SYSTEM->CN=Password Settings Container, 選擇新建一個Object

取個名字

這個對象的前綴，以便和其他的區分（比如某用戶應用了N多個的話）

密碼歷史記錄個數

是否啟用密碼復雜度

密碼最小長度

密碼最短天數

密碼最長天數

失敗幾次鎖住賬號

上鎖觀察期

上鎖長度

結束

創建好的對象

修改msDS-PSOAppliesTo屬性

分配對應的安全組即可

測試

搞定以後隨便登錄一個服務器看看，提示修改密碼，成功

最後，在ADAC裏面打開，可以看見同樣的配置內容

老生常談一下在AD中細粒度設置密碼策略