В AD DS появились подробные политики паролей, которые можно применять как к отдельным учетным записям, так и к группам. Хотя специалисты рекомендуют пользоваться группами для распределения этих политик, чтобы упростить дальнейшее администрирование.

Рассмотрим процесс создания и привязки политик паролей, а также некоторые атрибуты, связанные с ними. Специального графического средства для создания и управления такими политиками нет, вместо этого можно использовать программу ADSIEdit либо другие программы, которые позволят управлять объектами схемы AD (об одной из них будет сказано ниже). Итак, для создания политики нужно создать объект msDS-PasswordSettings или PSO (Password Settings Object) в контейнере Password Settings Container в узле System Container вашего домена. Далее вам будет предложено ввести значения обязательных атрибутов данного объекта. Для понимания, какие политики паролей сможет применять администратор, рассмотрим некоторые атрибуты:

n  msDS-PasswordSettingsPrecedence – здесь содержится некоторый номер, определяющий приоритет действия настроек, если для одного объекта применяется несколько;

n  msDS-PasswordComplexityEnabled – определяет, должен ли пароль отвечать требованиям сложности (значение по умолчанию для домена True);

n  msDS-MinimumPasswordLength – минимальная длина пароля в символах (семь по умолчанию);

n  msDS-LockoutThreshold – количество неудачных попыток ввода пароля, после которых пользователь будет заблокирован (0 по умолчанию, это означает запрет блокировки при неудачном вводе пароля).

После создания объекта типа PSO нужно привязать его к пользователю или группе, для этого нужно добавить их в атрибут msDS-PSOAppliesTo данного объекта. Понятно, что данный атрибут может иметь не одно значение. Более того, в атрибутах пользователя или группы можно найти msDS-PSOAppliedTo, который содержит все PSO, связанные с данным пользователем или группой. Исходя из этого, следует, что для объекта пользователя может применяться несколько политик, так как пользователи могут входить сразу в несколько групп. Но в какой очередности применяются политики в этом случае?