Реализация множества политик паролей в каждом домене

Еще одним очень важным улучшением в AD DS в Windows Server 2008 стало добавление возможности реализации в пределах одного домена детализированных политик паролей. Ранее такую возможность предоставляли только сторонние утилиты для изменения паро­лей, которые нужно было устанавливать в лесе только на контроллерах домена. В Windows Server 2008, а теперь и в Windows Server 2008 R2, администраторы могут самостоятельно определять, к каким пользователям должны применяться более жесткие политики паро­лей, а к каким — мягкие.

С этой технологией связано несколько ключевых момелтов, о которых следует знать перед ее внедрением. Эти моменты перечислены ниже.

• Режим домена должен соответствовать уровню Windows Server 2008 или Windows Server 2008 R2, т.е. все контроллеры домена в данном домене должны обязательно функционировать под управлением либо Windows Server 2008 R2, либо Windows Server 2008 RTM.
• Многоуровневые политики паролей всегда перекрывают политику паролей домена.
• Политики паролей могут применяться к группам, но это обязательно должны быть глобальные группы доступа.
  
• Многоуровневые политики паролей, применяемые к пользователю, всегда перекры­вают параметры, применяемые к группе.
• Объекты параметров паролей (Password Settings Object — PSO) хранятся в AD в спе­циальном контейнере параметров паролей
• К пользователю может применяться только один набор политик паролей. В случае применения множества политик паролей преимущество получает та, которая имеет более низкий приоритет.

Специальные политики паролей для конкретного пользователя формируются путем создания объекта параметров пароля (PSO) с помощью утилиты ADSIEdit, которая позво­ляет вносить низкоуровневые изменения в AD DS, а также атрибуты и объекты каталогов ADLDS.