二、细粒度口令策略的具体配置。

在2008环境下，口令设置对象一般存储在域控制器的口令设置容器中。通常情况下，为了为特定的用户创建特定的口令策略，需要通过一个特殊的工具，即ADSIEdit来实现。部署过域控制器的系统管理员一定知道，这是一款非常强大的低级目录编辑器。其不仅可以实现细粒度口令策略，为域中的用户实现不同的口令策略;而且还可以实现其他很多的功能。不过需要注意的是，这个工具是一个低级目录编辑器，如果使用的不小心的话，会带来灾难性的损失。通常情况下，如果使用这个工具进行比较大的更改时，都建议先对域控制器的相关配置进行备份，以备不时之需。

1、利用向导来进行配置。

在2008版本中，ADSIEdit工具专门提供了一个向导，来为特定的用户设置特定的口令策略。通过这个向导工具，可以在2008域控制器中自动创建口令策略并运行在口令策略上设置与细粒度口令策略相关的大部分属性。通常情况下，为了避免不必要的麻烦，笔者强烈建议通过向导来创建细粒度口令策略。在使用向导来创建细粒度口令策略时，以下几个参数要引起特别的关注。

一是msDS-Password。笔者在谈到细粒度口令策略的限制条件时谈到过，如果在同一个用户上设置多个细粒度口令策略的话，那么具有比较低数字优先级的策略将被启用。这个数字就是在这个参数中定义。这里设置的数字越小，其优先性越高。为了提高口令力策略的灵活性，笔者建议存在多个口令策略的情况下，可以在数字的两边留出空格一重新排序优先级。或者说，以10位单位设置这个参数。然后后续需要调整的话，只要个别调整数字，如将20调整为31。如此，就可以只通过调整一个口令策略从而实现优先级的调整。这相当于不少信息化管理系统，其项目的行号都是以10位单位进行递增一样，其目的都是为了后续用户能够根据需要对记录记录进行排序。

二是msDS-PasswordComplexity。通常情况下我们之所以要采用细粒度口令策略，往往是为了提高用户口令策略的灵活性。特别是为了实现对服务器用户与普通用户实现不同道口令策略。如对服务器用户的口令要求进行复杂性的认证。而这个参数就是为实现这个目的而设的。顾名思义，这个参数就是用来控制是否需要启用口令复杂性的策略。如果起用的话，则这个策略会强制要求用户的口令包含数字、大写字母、小写字母和特殊字符的组合作为其口令的一部分。一般情况下，只要启用了这个策略，那么就要求用户所设置的口令中必须要包含三种以上的字符。不过对于普通用户来说，这么高的安全策略有点大材小用。为此一般只针对服务器的帐户才启用这个口令复杂性策略。

三是msDS-MinimunPasswordAge参数。这个口令会控制将口令重新设置为不同口令必须等待的最少天数。这个参数跟上面的参数作用类似，也是为了提高密码的安全性所涉及的。设置这个参数的目的就是不允许用户简单的通过轮转口令变化的方式来保持相同的口令。某人情况下这个参数的值是3。也就是说，在三天之内不运行采用相同的口令。

其他的参数跟普通口令策略类似，这里就不做过多的参数了。在这众多的参数中，系统管理员特别需要注意的还是第一个参数，即跟口令策略优先级相关的数字。在设置这个参数的时候，一定要为后续的口令策略留有余地，要能够方便后续优先性的调整。

2、手工更改或者创建细粒度口令策略。

除了使用向导之外，域管理员还可以通过手工来创建口令策略，或者说对已有的口令力策略进行修改。虽然说笔者不建议这么做，但是系统毕竟还提高了这一个功能。

如果需要手工更改或者创建口令策略的话，则可以在管理工具菜单中打开ADSIEdit工具。打开这个工具后，可以选择创建或者修改，来维护特定的口令策略。在维护的时候，这里可以调整利用向导创建过程中的任何一个参数，包括优先性、口令复杂性策略等等。如果采用手工创建口令策略，需要注意为这个口令策略取名字的时候，要保证其名字的唯一。否则的话，系统会报错。