windows server 2003 политика паролей

Ответ от Smartsoft-news.ru[гуру]
Что нельзя сделать с текущими политиками паролей
Существует ряд неверных предположений об управлении паролями в текущей реализации Active Directory (в Windows Server 2003), невзирая на годы тщательного тестирования и полное отсутствие подтверждения этих предположений. Совершенно ясно, что политика работает в точности так, как это предусмотрено.
Например, многие администраторы считают, что для пользователей одного домена может быть несколько политик паролей. Они предполагают, что можно создать объект групповой политики и связать его с подразделением. Идея состоит в том, чтобы переместить учетные записи в подразделение, чтобы на них влиял объект групповой политики. Внутри объекта групповой политики изменяются политики учетных записей и создается более безопасная политика паролей, например путем указания максимальной длины паролей равной 14 знакам. Однако по ряду причин такая конфигурация не даст желаемого результата. Во-первых, параметры политики паролей основаны на компьютерах, а не на пользователях. По этой причине они не будут влиять на учетные записи пользователей. Во-вторых, единственный способ изменения параметров политики учетных записей для учетной записи пользователя домена обеспечивается объектом групповой политики, связанным с доменом. Объекты групповой политики, связанные с подразделениями, которые настроены для изменения политик учетных записей, изменят локальный диспетчер учетных записей безопасности компьютеров, находящихся в подразделении или во вложенных подразделениях связанного подразделения.
Второе неверное предположение заключается в том, что параметры политик учетных записей, установленных в корневом домене (начальном домене леса Active Directory) будут унаследованы дочерними доменами леса. Это неверно. Заставить параметры работать таким образом — невозможно. Объекты групповой политики, связанные с доменом и подразделениями внутри одного домена, не повлияют на объекты в другом домене, даже если домен со связанными объектами групповой политики является корневым. Единственный способ распространения параметров объектов групповой политики в различных доменах — связать объекты групповой политики с сайтами Active Directory.
Password policy (Политика паролей) . Определяет настройки для реализации функций управления паролями пользователей.
Account lockout policy (Политика блокировки учетных записей) . Определяет, когда и насколько будет блокирована от системы учетная запись в случае отказа в аутентификации пользователя.
Enforce Password History (Журнал паролей) . Должно быть задано запоминание 12 паролей.
Maximum Password Age (Максимальный срок действия паролей) . Промежуток времени, после которого пользователям требуется изменить свой пароль. Должно быть задано значение от 45 до 90 дней.
Minimum Password Age (Минимальный срок действия паролей) . Минимальный промежуток времени, в течение которого пользователи не могут изменять пароль. Должно быть задано значение 1 день.
Minimum Password Length (Минимальная длина паролей) . Минимальное количество символов, которое должно быть в пользовательских паролях. Должно быть задано значение не менее 8 символов. Каждый дополнительный символ в пароле существенно повышает трудность взлома пароля.
Password Must Meet Complexity Requirements (Пароль должен отвечать требованиям сложности) . Требует использования сильных паролей и поэтому должна быть включена (Enabled). Это требует задания пароля, содержащего не менее трех символов из следующих четырех наборов символов: прописные буквы, строчные буквы, числа и неалфавитные символы.
Источник: полезная статейка с моего компьютера