「更細緻的密碼原則」可讓您為網域中的不同使用者集合,定義不同的密碼和帳戶鎖定原則。 您可以使用更細緻的密碼原則,在單一網域內指定多個密碼原則。 您還可以對網域中的不同使用者集合,套用不同的密碼和帳戶鎖定策略限制。 例如,您可以將較嚴格的設定套用到權限帳戶,然後將較不嚴格的設定套用到其他使用者的帳戶。
更細緻的密碼原則僅適用於全域安全群組和使用者物件。 根據預設,只有 Domain Admins 群組的成員可以設定更細緻的密碼原則。 不過,您也可以將設定這些原則的能力委派給其他使用者。
必要條件
您必須先完成下列必要條件,才能建立更細緻的密碼原則。
網域功能等級必須是 Windows Server 2008 或更高。
您必須是 Domain Admins 群組的成員。
您必須安裝下列任一遠端伺服器管理工具 (RSAT):
Active Directory 系統管理中心 (ADAC)
OR
適用於 Windows PowerShell 的 Active Directory 模組。
建立更細緻的密碼原則
如果要建立新的更細緻的密碼原則,請執行下列步驟:
以下說明如何使用 ADAC 建立更細緻的密碼原則:
從 [伺服器管理員] 控制台的 [工具] 功能表或執行提升權限的 PowerShell 工作階段並輸入 dsac.exe,開啟 [Active Directory 管理中心]。
如果未選取適當的目標網域,請選擇 [管理],選擇 [新增導覽節點],然後在 [新增導覽節點] 對話框中選取適當的目標網域,然後選擇 [確定]。
在 ADAC 瀏覽窗格中,開啟 [系統] 容器,然後選擇 [密碼設定容器]。
在 [工作] 窗格中,選擇 [新增],然後選擇 [密碼設定]。
填入或編輯內容頁面的欄位,以建立新的 [密碼設定] 物件。 [名稱] 和 [優先順序] 欄位是必要欄位。
在 [直接套用至] 下,選擇 [新增],輸入更細緻的密碼原則的群組名,然後選擇 [確定]。
選擇 [確定] 以提交創建。
檢視使用者的政策結果集
如果要檢視套用至特定使用者的結果原則,請執行下列步驟:
以下說明如何使用 ADAC 檢視套用至特定使用者的結果原則:
從 [伺服器管理員] 控制台的 [工具] 功能表或執行提升權限的 PowerShell 工作階段並輸入 dsac.exe,開啟 [Active Directory 管理中心]。
如果未選取適當的目標網域,請選擇 [管理],選擇 [新增導覽節點],然後在 [新增導覽節點] 對話框中選取適當的目標網域,然後選擇 [確定]。
導覽至您想查看的使用者,以查看其政策設定結果。
在 工作 窗格中選擇 檢視結果密碼設定。
檢查密碼設定原則,然後選擇 [取消]。
編輯更細緻的密碼原則
使用下列步驟編輯更細緻的密碼原則:
以下說明如何使用 ADAC 編輯更細緻的密碼原則:
從 [伺服器管理員] 控制台的 [工具] 功能表或執行提升權限的 PowerShell 工作階段並輸入 dsac.exe,開啟 [Active Directory 管理中心]。
如果未選取適當的目標網域,請選擇 [管理],選擇 [新增導覽節點],然後在 [新增導覽節點] 對話框中選取適當的目標網域,然後選擇 [確定]。
在 ADAC [瀏覽窗格] 中,展開 [系統],然後展開 [密碼設定容器]。
選取您想要編輯的更細緻的密碼原則,然後選擇 [工作] 窗格中的 [屬性]。
修改您想要變更的設定,然後選擇 [確定]。
刪除更細緻的密碼原則
執行下列步驟以刪除更細緻的密碼原則:
以下說明如何使用 ADAC 刪除更細緻的密碼原則:
從 [伺服器管理員] 控制台的 [工具] 功能表或執行提升權限的 PowerShell 工作階段並輸入 dsac.exe,開啟 [Active Directory 管理中心]。
如果未選取適當的目標網域,請選擇 [管理],選擇 [新增導覽節點],然後在 [新增導覽節點] 對話框中選取適當的目標網域,然後選擇 [確定]。
在 [ADAC 瀏覽窗格] 中,展開 [系統],然後展開 [密碼設定容器]。
選取您想要移除的更細緻的密碼原則,然後在 [工作] 窗格中選擇 [屬性]。
清除 [保護以防止被意外刪除] 核取方塊,然後選擇 [確定]。
選取更細緻的密碼原則,然後在 [工作] 窗格選擇 [刪除]。
在確認對話方塊中選擇 [確定] 以刪除該原則。