Fine-Grained Password Policy
Единая политика по сложности паролей с высокой степенью вероятности вызовет конфликт в коллективе. Поэтому нужно создать как минимум 2 политики сложности для паролей.
Одна - для сотрудников, другая - для администраторов(можно использовать доменную политику по умолчанию)
Fine-Grained Password Policy позволяет создавать PSO(password-settings object) и назначать их глобальным группам пользователей.
1) Открываем ADAC(dsac.exe)
2) Переключаемся в древовидное представление консоли, находим раздел System \ Password Settings Container
3) Создаем политику и привязываем ее к глобальным группам или учетным записям. Учитывая, что с отдельными учетными записями мы работать не будем, то политика PSO привязывается к глобальной группе.
Важно!!
PSO назначается глобальной группе безопасности
PSO НЕЛЬЗЯ назначить OU!!
PSO НЕЛЬЗЯ назначить группе безопасности домена
Какой PSO использует конкретный пользователь
PSO, применяемый к данному пользователю можно выяснить в ADUC (View -> Advanced Features)
на вкладке Attribute Editor в параметре msDS-ResultantPSO. Этот парметр появляется в списке при отсутствии фильтров.
Ссылки:
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt
https://winitpro.ru/index.php/2017/01/18/nastrojka-politiki-parolej-fine-grained-password-policy-v-windows-2012-r2/
http://pyatilistnik.org/pso-password-setting-object/