二、 细粒度口令策略的具体配置。

在2008环境下，口令设置对象一般存储在域控制器的口令设置容器中。通常情况下，为了为特定的用户创建特定的口令策略，需要通过一个特殊的工具，即 ADSIEdit来实现。部署过域控制器的系统管理员一定知道，这是一款非常强大的低级目录编辑器。其不仅可以实现细粒度口令策略，为域中的用户实现不同 的口令策略;而且还可以实现其他很多的功能。不过需要注意的是，这个工具是一个低级目录编辑器，如果使用的不小心的话，会带来灾难性的损失。通常情况下， 如果使用这个工具进行比较大的更改时，都建议先对域控制器的相关配置进行备份，以备不时之需。

1、 利用向导来进行配置。

在2008版本中，ADSIEdit工具专门提供了一个向导，来为特定的用户设置特定的口令策略。通过这个向导工具，可以在2008域控制器中自动创 建口令策略并运行在口令策略上设置与细粒度口令策略相关的大部分属性。通常情况下，为了避免不必要的麻烦，笔者强烈建议通过向导来创建细粒度口令策略。在 使用向导来创建细粒度口令策略时，以下几个参数要引起特别的关注。

一是msDS-Password。笔者在谈到细粒度口令策略的限制条件时谈到过，如果在同一个用户上设置多个细粒度口令策略的话，那么具有比较低数字 优先级的策略将被启用。这个数字就是在这个参数中定义。这里设置的数字越小，其优先性越高。为了提高口令力策略的灵活性，笔者建议存在多个口令策略的情况 下，可以在数字的两边留出空格一重新排序优先级。或者说，以10位单位设置这个参数。然后后续需要调整的话，只要个别调整数字，如将20调整为 31。如此，就可以只通过调整一个口令策略从而实现优先级的调整。这相当于不少信息化管理系统，其项目的行号都是以10位单位进行递增一样，其目的都是为 了后续用户能够根据需要对记录记录进行排序。

二是msDS-PasswordComplexity。通常情况下我们之所以要采用细粒度口令策略，往往是为了提高用户口令策略的灵活性。特别是为了 实现对服务器用户与普通用户实现不同道口令策略。如对服务器用户的口令要求进行复杂性的认证。而这个参数就是为实现这个目的而设的。顾名思义，这个参数就 是用来控制是否需要启用口令复杂性的策略。如果起用的话，则这个策略会强制要求用户的口令包含数字、大写字母、小写字母和特殊字符的组合作为其口令的一部 分。一般情况下，只要启用了这个策略，那么就要求用户所设置的口令中必须要包含三种以上的字符。不过对于普通用户来说，这么高的安全策略有点大材小用。为 此一般只针对服务器的帐户才启用这个口令复杂性策略。