Alternativ passordpolicy i domene
Når du hever domenefunksjonsnivået til 2008-nivå får du også muligheten til å bruke alternative passordpolicies (som tross navnet ikke settes via Group Policy).
TechNet-artikkelen om dette er litt kronglete, men du kan i stedet gjøre det via PowerShell 2.0 som er innebygget i Windows Server 2008 R2 og Windows 7.
Gjør følgende for å opprette en policy:Start Active Directory Module for Windows PowerShell. Denne finner du ved å velge Administrative Tools fra startmenyen. (OBS! Valget vil kun være mulig hvis du har installert RSAT og aktivert dette tillegget i "Slå Windows funksjoner på eller av").
I editorbildet som kommer frem taster du inn følgende kommando (på en linje):
New-ADFineGrainedPasswordPolicy
-Name "IT-avdelingen"
-Description "Strengere policy for IT-avdelingen"
-DisplayName "IT-avd PSO"
-Precedence 1
-ComplexityEnabled $true
-LockoutDuration "0.01:00:00"
-LockoutObservationWindow "0.00:05:00"
-LockoutThreshold 3
LockoutDuration betyr hvor lenge en utestengt konto vil være inaktiv. LockoutObservationWindow forteller hvor lang tid det tar før telleren for antall feil passord blir nullstilt. Tidsformatet er: d:tt:mm:ss. LockoutThreshold betyr hvor mange feil forsøk som fører til at kontoen blir midlertidig inaktiv. I tilfellet over blir kontoen inaktiv i 1 time hvis du taster feil passord mer enn 3 ganger i løpet av 5 minutter.
Gjør følgende for å knytte policy til bruker eller gruppe: (f.eks. "G IT-avdelingen")
Add-ADFineGrainedPasswordPolicySubject "IT-avd PSO"
-Subjects "G IT-avdelingen"
For å endre en eksisterende policy kan du bruke
Set-ADFineGrainedPasswordPolicy.Her er en artikkel som tar for seg alle parametere som kan brukes med New eller Set:
http://technet.microsoft.com/en-us/library/ee617191.aspx