" title="快乐分享（zhuzengju个人blog）

我们需要修改ADSIEdit或者ADAC，具体步骤如下

以下操作为ADSIEdie向导步骤动作：
1、打开ADSIEdit，连接到“默认命名上下文”中
选择“CN=System下的CN=Password Settings Container
2、在该容器的空白位置上新建一个全新对象
3、给新的密码策略命名
4、设置密码策略优先级(越小越优先)，为了后续的新策略应用，这里不建议设置的太小。
5、是否使用可还原的加密方式保存密码，一般为了安全性考虑，我们选择false
6、记住的历史密码个数，根据实际需要设置。
7、是否要求符合密码复杂度规则，为了安全，一般填写true
8、密码最小长度
9、密码最短使用时间，请留意格式要求，例：1天，我们要写1:00:00:00
10、密码最长使用时间，格式同密码最短使用时间，例：30天，我们要写30:00:00:00
11、密码错误次数锁定阈值，也就是用户输错多少次后要锁定这个账户。
12、用户账号复位计数（每一次密码输入错误计数器都会加1，在账户未被锁定之前，密码输入错误后30分钟内没有再次输错，计数器将会复位到0）
13、用户账号锁定时长，默认分钟
14、选择“更多属性”，添加对应属性
15、创建成功
16、根据需求，添加安全组使用该密码策略，并把需要使用该策略的用户加到这个组里
17、通过ADAC可以查看账号是否生效新的密码规则，或者使用 Get-ADUserResultantPasswordPolicy username 查看规则是否已被应用。

以上规则，使用Powershell命令行执行
此处假设活动目录域名为 domain.com，新建的密码颗粒化规则名称为TestPswd，规则优先级1，30分钟内输错7次锁定30分钟，最短密码寿命1天(成功修改一次密码后至少要24小时以后才能再次修改密码)，最长密码寿命30天，历史密码记录24个，密码复杂度要求是启用，可还原的密码是不启用：
New-ADFineGrainedPasswordPolicy -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"30.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -Name:"TestPswd" -PasswordHistoryCount:"24" -Precedence:"10" -ReversibleEncryptionEnabled:$false

Set-ADObject -Identity:"CN=TestPswd,CN=Password Settings Container,CN=System,DC=domain,DC=com" -ProtectedFromAccidentalDeletion:$true

Add-ADFineGrainedPasswordPolicySubject -Identity:"CN=TestPswd,CN=Password Settings Container,CN=System,DC=domain,DC=com"

msDS-PasswordSettingsPrecedence，设置密码策略的优先级，数值越小优先级越高，设置为"1"
msDS-PasswordReversibleEncryptionEnabled，设置是否启用"用可还原的加密来存储密码"策略，其值是个布尔值，可选择FALSE或者TRUE，在此我们设置为"FALSE"
msDS-PasswordHistoryLength，对应组策略中的"强制密码历史"，可选范围是0-1024，我们设置为1
msDS-PasswordComplexityEnabled，对应组策略中的"密码必须符合复杂性要求"，也是一个布尔值，我们设置为"true"
msDS-MinimumPasswordLength，设置密码长度最小值为
msDS-MinimumPasswordAge，设置密码最短使期限为1:00:00:00(1天);注意：格式按照 天:时:分:秒（dd:hh:mm:ss） 来写
msDS-MaximumPasswordAge，设置密码最常使用期限为120:00:00:00(90天);注意：不能设置为0天，否则最后会报错
msDS-LockoutThreshold，设置帐户锁定阀值为5,表示5次输错后锁定账户(可以范围0-65535)
msDS-LockoutObservationWindow，设置复位帐户锁定计数器为00:00:30:00(30分钟)
设置【重置账户锁定计数器】为【30】分钟，每一次密码输入错误计数器都会加1，根据上一步的设置，当计数器值为5时账户锁定，在账户未被锁定之前，密码输入错误后30分钟内没有再次输错，计数器将会复位到0
msDS-LockoutDuration，设置帐户锁定时间为0:00:30:00(30分钟)。即锁定的账户将在30分钟后解锁
在新建好的testpassword右键属性找到"msDS-PSOAppliesTo"添加安全组。