修改windows 2008 域控服务器密码策略

Windows 2008的AD域的多元密码策略众所周之，Windows2000或2003的AD域上，密码策略只能指派到域(Site)上，不能单独应用于活动目录中的对象。

换句话说，密码策略在域级别起作用，而且一个域只能有一套密码策略。

统一的密码策略虽然大大提高了安全性，但是提高了域用户使用的复杂度。

举个例子来说，企业管理员的帐户安全性要求很高，需要超强策略，比如密码需要一定长度、需要每两周更改管理员密码而且不能使用上几次的密码;但是普通的域用户并不需要如此高的密码策略，也不希望经常更改密码并使用很长的密码，超强的密码策略并不适合他们。

为解决这个问题，在Windows 2008的AD域中引入了多元密码策略(Fine-Grained Password Policy)的概念。

多元密码策略允许针对不同用户或全局安全组应用不同的密码策略，例如:A.可以为管理员组指派超强密码策略，密码16位以上、两周过期;B.为服务帐号指派中等密码策略，密码30天过期，不配置密码锁定策略;C.为普通域用户指派密码90天过期等。

多元密码策略的诞生，满足了不同用户对于安全性的不同要求。

多元密码策略虽然满足了不同级别用户对于密码安全性的要求，但是配置多个密码策略为管理员增加了管理复杂度，管理起来也不是很方便，所谓鱼和熊掌不可兼得。

而我写这篇文章的初衷就是帮朋友尽快熟悉起这个功能，鱼和熊掌，我欲兼得！一、部署条件多元密码策略部署要求有以下几点：A. 所有域控制器都必须是Windows Server 2008；B. 域功能级别为2008 Domain Functional Mode；C. 客户端无需任何变更；D. 如果一个用户和组有多个密码设置对象（PSO，可以把PSO理解为和组策略对象GPO 类似，通俗的理解为就是一条条的密码策略），那么优先级最小的PSO将最终生效;E. 多元密码策略只能应用于活动目录中的用户和全局安全组，而不能应用于活动目录中的计算机对象、非域内用户和组织单元OU。

Windows 2008 R2域控下修改密码策略
开始- 管理工具-组策略管理器”->林-域- 域
名-组策略对象-Default Domain Policy
关键一步：在最后一层“Default Domain Policy
” 上右键- 编辑，可爱的组策略出来了。

2008 R2域控下修改密码策略" alt="Windows 2008 R2域控下修改密码策略"
src="/DownloadImg/2011/10/0322/1 8213622_1" name=image_operate_80471303956061521>组策略管理编辑器里，展开计算机配置- 策略- Windows设置- 安全设置- 帐户策略- 密码策略，修改即可.
要注意末定义和已禁用的区别，这里选择已禁用。

2008 R2域控下修改密码策略" alt="Windows 2008 R2域控下修改密码策略"
src="/DownloadImg/2011/10/0322/1 8213622_2" name=image_operate_15261303956062220
real_src="/DownloadImg/2011/10/0 322/18213622_2">最后强制刷新策略gpupdate /force。

windowserver2008r2在activedirectory域中不能更改服务器密码策略Window Server 2008 R2 在Active Directory域中不能更改服务器密码策略服务器上新安装Window Server 2008 R2操作系统后，采用的是默认的密码策略，设了密码的最长使用时间。

没有安装Active Directory域之前，密码到期了只会提示一下，但安装Active Directory后，需要重启服务器，重启后就直接要求改密码，不然不让登录，并且新密码不能和旧密码一致，新密码必须很复杂，还有最小位数的要求。

这些都是密码策略的限制。

本来在“管理工具>> 本地安全策略>> 帐户策略>> 密码策略”里面可以设置这些内容，但安装了Active Directory域之后，这里的设置就都变成灰色了，各个属性都是不可编辑的。

原因是我们更改的是本地的策略，而此时的计算机是在域中，受到域的管理。

故如果要修改密码策略，必须在“管理工具>> 组策略管理”里面修改，修改之后再查看“本地安全策略”的“密码策略”，发现这里显示的已经是修改后的设置了。

具体步骤如下：1、打开“组策略管理”界面：管理工具>> 组策略管理，如果找不到该功能，则需要先安装，在“服务管理器”里面“添加新功能”。

2、依次打开“林”>>“域”>> “组策略对象”>> "Default Domain Policy" 。

3、右键"Default Domain Policy"，选择“编辑”，找到“密码策略”,如下图。

Server 2008 R2 在Active Directory域中不能更改服务器密码策略" name="image_operate_62981340184646923"alt="Window Server 2008 R2 在Active Directory域中不能更改服务器密码策略"src="/DownloadImg/2015/04/0111/5 1862959_2" width="288" height="447"action-type="show-slide"action-data="http%3A%2F%%2Fmiddle%2F4 e1f3c89gc2e4021edfcc%26690"real_src="/DownloadImg/2015/04/0 111/51862959_2">4、双击各个属性设置，修改相应的策略。

WindowsServer2008多元密码策略-----fromWindows Server 2008多元密码策略之ADSIEDIT应用在以前版本的活动目录域中，我们只可以在默认的域策略中为所有用户配置一个统一的密码策略和账户锁定策略。

多元化（颗粒化）密码策略，是Windows Server 2008活动目录域服务中新增的功能。

它可以满足企业中针对业务扩张与法律需要来对不同用户应用不同的密码策略与账户锁定策略。

也就是说，我们可以为IT管理员账户设置一个超复杂性的密码策略以满足安全性要求；为相关的服务账户设置一个中等的密码策略；为一般User设置一个较为简单的密码策略，以减少管理开支。

总而言之，多元化密码策略大大提高了密码策略的灵活性。

在开始配置之前，我们先来了解下多元化密码策略应用的一些规则与要求：多元化密码策略只可以应用于AD中的用户与全局安全组，这与以往的GPO应用对象有所不同，相反的是它不同应用于计算机对象、OU等活动目录容器。

它的部署也是有要求的：域中所有的DC须为Windows Server 2008域模式为windows 2008 Domain Functional Mode须使用ADSIEDIT或LDIFDE来进行配置与管理当一个用户关联多个PSO时，优先级数字最小的优先另外对客户端没有什么要求配置多元化密码策略大体上分为三个步骤：1. 使用ADSIEDIT创建密码设置对象（PSO）2. 针对用户或组应用PSO3. 验证用户的PSO应用1. 使用ADSIEDIT创建密码设置对象（PSO）在创建PSO之前，我们先来了解下这个PSO。

在WindowsServer 2008的活动目录域服务中，为了储存多元化密码策略，增加了两个新的对象类别：密码设置容器(Password Settings Container)密码设置（Password Settings）而咱们要创建的这个密码设置对象PSO则储存在创建在域的系统容器中的密码设置容器中。

一、加入辅助域控win2008-2 主域控：服务器2008-1，IP：192.168.1.30服务器win2008-2，IP：192.168.1.31，DNS配成win2008-1的IP，先将win2008-2加入域，加入后以域管理员登入win2008-2服务器，运行dcpromo,勾选高级模式安装，选下一步，继续下一步，选现有林--向现有域添加域控制器，下一步，默认已填入域名，设置里填入域管理员账户密码，下一步，默认不变，继续下一步，选是，继续，正在提升域，从父域复制相关的信息，经过几分钟后，提升完成，点击“完成”退出安装向导，重启生效，重启后以域管理员登入win2008-2，查看是否成为辅助域控，打开用户和计算机，看到已有两个域控，右键域名选操作主机，发现主域控是win2008-1,或输入netdom query fsmo,（2003需要安装系统盘Support目录下的support tools工具）五个角色都在win2008-1上，二、当主域控掉线时，辅助域控升级为主域控以域管理员登入主域控win2008-1,在user里建立用户111，win7客户端以用户111登入域，配置“隐藏和禁用桌面所有项目”的组策略，运行中输入gpmc.msc,组策略右键选编辑，用户配置--策略--管理模板--桌面--隐藏和禁用桌面上所有项目，选启用，进入辅助域控2008-2，发现组策略以自动同步，win7注销仍然以用户111登陆，发现组策略已生效，现在将主域控win2008-1关机，发现win7不能跟新组策略，一直停留在下面的界面，再把辅助域控win2008-2的IP改为原主域控的192.168.1.30，发现win7仍不能更新组策略，并报错，在win2008-2中输入netdom query fsmo,发现五个角色还是win2008-1，现在用命令行强制将主机和角色切过来：在命令提示符下输入ntdsutil回车，再输入roles回车，再输入connections回车，再输入connect to server ,提示绑定成功后，输入q推出，如图，输入问号可以看到一些帮助信息，现在用seize来进行强制夺取，分别输入：Seize infrastructure masterSeize naming masterSeize PDCSeize RID masterSeize schema master以上的命令在输入完成一条后都会确认要占用角色，选择是，选择是后，如图会看到报错，这是正常的，因为主域控win2008-1不在线，所以在夺取时会有这个出错信息，接下来的各个角色的夺取也会有这个出错信息，以上命令全部完成后，按q推出，再看下五个角色的所有者已经是win2008-2服务器了，现在win7客户端还不能从win2008-2更新策略,进入站点和服务，删除原win2008-1的NTDS Setting,再进入用户和计算机，删除原域控win2008-1,现在客户端win7已经能从win2008-2更新策略了，三、把修好的win2008-1再恢复成主域控现在把恢复后装完系统的win2008-1重新加入域，重启后先把win2008-1按照之前的步骤升成辅助域控，此时主域控win2008-2,辅助域控win2008-1同时在线状态，如需要将win2008-1恢复成主域控要进行以下操作：将五个角色从win2008-2迁移到win2008-1,进入主域控win2008-2的命令提示符输入：ntdsutil回车，再输入：roles 回车，再输入connections回车，再输入connect to server win2008-1,提示绑定成功后，输入q退出，如图：输入？可以看到提示，然后分别输入：Transfer infrastructure masterTransfer naming masterTransfer PDCTransfer RID masterTransfer schema master以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择”是“，如图：然后接着一条一条完成即可，完成以上按q退出界面，差点win2008-1是否已升级成主域控，在主辅域控命令提示符中都输入：netdom query fsmo,发现五个角色已经都在win2008-1上了，选用户和计算机--域名右键--操作主机，发现主域控已是win2008-1,最后再把两个域控的ip换回来，win2008-1,win2008-2,进入win2008-1的站点和服务--右键辅助域控win2008-2的NTDS Settings--去掉全局编录前面的钩，这时客户端命令提示符输入：gpupdate/force,然后ping ,发现默认域控是win2008-1的ip否则会是win2008-2，。

关于“密码不满足密码策略的要求，检查最小密码长度、密码复杂性和密码历史的要求”的解决办法（Windows 2003 & Windows 2008）由于域的规约而导致的问题，问题在于密码设定不符合策略组的规约。

此时需要到域策略中设置响应选项来降低密码的复杂度。

（默认的复杂度需要至少7字符，且包含多个字母和数字）Windows Server 2003解决办法是：& L% A$ ]- e+ G" M' p: a# `选择开始>程序>管理工具>域安全策略>帐户策略>密码策略密码必须符合复杂性要求：由“已启用”改为“已禁用”；密码长度最小值：由“7个字符”改为“0个字符”使此策略修改生效有如下方法：1、等待系统自动刷新组策略，约5分钟~15分钟2、重启域控制器（若是修改的用户策略，注销即可）0 `# F' l2 a; W- a3 x7 l3、使用gpupdate命令仅刷新计算机策略：gpupdate/target:computer : M8 V) p# G0 Z5 g; B5 r, g' q仅刷新用户策略：gpupdate/target:user二者都刷新：gpupdateWindows Server 2008不一样的是, 管理员不能从本地策略组中将其密码策略修改, 而需要从GPM(Group Policy Management)"组策略管理器"中进行修改. 步骤如下:. q" y* D) m& ^2 F! KWindows Server 2008中, 打开GPM(Group Policy Management)方法: 依次选择start(开始)->Administrator Tools(管理者工具)->Group Policy Management(组策略管理器)->Run as administrator/Open(使用管理员权限打开)' |% H& Q# @0 m7 C1 k2 E1 p, @: @! l5 l: f开启GPM之后, 依次展开树状节点:- [: Q8 S; @" \3 Y6 B& kForest: [YOUR DOMAIN NAME(你的域名)]->domain(域)->[YOUR DOMAIN NAME(你的域名)]->Group Policy Object(组策略对象). 右键点击Default Domain Policy(默认域策略), 选择Edit(编辑)- E. E. _% B' ^0 T; h& O6 i% ^ Y z以上操作后将打开Group Policy Management Editor(组策略管理器)对话框, 依次展开树状节点: Computer Configuration(计算机配置)->Windows Settings(Windows设置)->Security Settings(安全设置)->3 x2 U! q! ?6 \5 R) L U7 u0 PAccount Policy(允许策略)->Password Policy(密码策略) 可以看到关于密码的策略设定, 只要将倒数第二项: Password must meet complexity requirments(密码复杂度)项目设成disable即可. 其余的策略因情况而设定.: C R1 \8 m( i p& t# Z最后选择start->run(运行), 输入gpupdate强制更新组策略设置.等待命令行结束之后即可完成.。

windows2008 r2的账户锁定策略Windows2008 R2是微软公司推出的一款服务器操作系统。

在这个操作系统中，账户锁定策略是非常重要的一项安全措施。

本文将详细介绍Windows2008 R2的账户锁定策略，并一步一步回答与之相关的问题。

一、什么是账户锁定策略？账户锁定策略是指在一定的条件下，当用户连续输入错误的密码达到一定次数时，系统会自动锁定该账户一段时间，以保护系统的安全。

账户锁定策略可以防止暴力破解攻击，提高系统的安全性。

二、账户锁定策略的设置方法？步骤一：登录Windows Server 2008 R2系统，以管理员权限打开“服务器管理器”。

步骤二：在“服务器管理器”中，选择“配置”选项卡，点击“本地用户和组”，在右侧窗口中点击“用户”。

步骤三：在“用户”窗口中，选择需要设置账户锁定策略的用户，右键点击，选择“属性”。

步骤四：在“属性”窗口中，选择“账户”选项卡，在“帐户锁定”部分，点击“锁定帐户”复选框，并设置相关参数，比如“账户锁定阈值”和“锁定持续时间”。

然后点击“确定”保存设置。

三、账户锁定策略的参数解释1. 账户锁定阈值：表示当用户连续输入错误的密码次数达到设定的值时，系统会自动锁定该账户。

一般建议将该值设置为3~5次，以兼顾安全与用户体验。

2. 锁定持续时间：表示当账户被锁定后，需要等待的时间解锁账户。

可以选择设定一段时间（如15分钟），也可以设置为管理员手动解锁。

根据实际需求和安全要求进行设置。

四、账户锁定策略的作用账户锁定策略可以有效地防止恶意用户进行暴力破解攻击。

通过限制用户连续尝试错误密码的次数，避免了暴力破解攻击者利用程序自动化尝试密码。

同时，账户锁定策略还可以提醒用户注意密码的安全性，避免使用过于简单的密码。

五、账户锁定策略的注意事项1. 合理设置账户锁定阈值和锁定持续时间。

如果设置太低，可能会导致用户频繁被锁定，影响正常使用；如果设置太高，可能会增加系统被攻击的风险。

WindowsServer2008组策略设置详解1、组策略中包含两部分：1 计算机配置：针对计算机的配置，只在计算机上生效。

计算机启动的时候应用，在出现登录界面前。

2 用户配置：针对用户的配置，只在所有用户帐户上生效。

用户登录后应用。

2、根据应用范围将组策略分为三类：1 域的组策略：设置对于整个域都生效。

在“AD用户和计算机”中，右击域名-〉属性-〉组策略。

2 OU的组策略：设置对于这个的OU生效。

在“AD用户和计算机”中，右击OU名-〉属性-〉组策略。

3 站点的组策略：设置对于这个站点生效。

在“AD站点和服务”中，右击站点名-〉属性-〉组策略。

注意：“运行”中键入gpedit.msc，启动的是本地组策略，我们要的是“域组策略”！所以必须右击“AD 用户和计算机”中才能进入。

3、组策略的执行顺序：1 站点-〉域-〉组织单元（OU）2 计算机配置-〉用户配置4、组策略的冲突：1 在不同组策略中的同一项目的设置相反，就是组策略冲突。

如：在站点组策略中，“隐藏桌面上的网上邻居图标”设置为“启用”，而域的组策略上设置的是“禁用”。

再如：在域的组策略中“密码长度”设置为“7”，而OU的组策略中设置的是“6”。

2 冲突的结果：后执行的是结果。

5、组策略中的设置内容：1 软件安装：自动安装应用软件。

计算机配置和用户配置下都有。

准备工作：软件的源安装文件，在安装文件中要有.msi为后缀的可执行文件。

将软件的源安装文件放到一个共享文件夹中。

（网络路径）A、已发行：由用户决定是否安装。

如果软件包是已发行方式，用户登录后，系统会在添加/删除程序-〉添加新程序中显示已发行的软件包。

在计算机配置中不能实现。

B、已指派：强制性安装，自动安装。

2 WINDOWS设置：A、计算机配置：脚本（启动和关机），安全设置。

B、用户配置：IE维护，脚本（登录和注销），安全设置（密钥），远程安装服务（为客户机安装WIN2000 PRO），文件夹重定向（把用户的一些重要文件夹重定向到文件服务器中）。

例一、更改域客户机本地管理员密码1．在DC或者有权限的电脑上运行管理工具－Active Directory 用户和计算机，选定你欲操作的OU，新建一组策略，添加一条开机脚本。

2．开机脚本内容如下Changing the Local Administrator Password.vbsfile: Changing the Local Administrator Password.vbsAuthor: MicrosoftstrComputer = "."Set objUser = GetObject("WinNT://" & strComputer & "/Administrator,user")objUser.SetPassword "testpassword"objUser.SetInfo3．保存组策略后，运行cmd，执行secedit /refreshpolicy MACHINE_POLICY命令立即刷新组策略。

注：1. 本例不考虑管理员口令已改名的情况2. 不考虑口令已经更改过，只要客户端重启就重置一次密码。

注意：把脚本集中存放在一个目录下，设置该目录权限，去除domain user，添加domain computer例二、统一系统内置管理员帐号的帐号名脚本如下：file: Remove User from Local Administrators Group.vbsAuthor: FinaLDate: 2004-4-19 21:46说明: 移出本地管理员组中不需要的帐号strComputer = "." //“.”代表本机ValidUsers = "administrator"//需要保留的用户名，可以指定多个Set objGroups = GetObject("WinNT://" & strComputer & "/Administrators,group")For Each objUser in objGroups.MembersIf InStr(1,ValidUsers,,1)=0 ThenobjGroups.Remove(objUser.AdsPath) //删除帐号使用computer对象的delete方法End IfNext例3清理客户端的管理员权限帐号1.先把客户端系统内置的管理员帐号统一为administrator。

在早期的系统中，遇到这种事情可以使用目前国内的很多Windows PE光盘来解决。

但是，对于Windows Server 2008 R2来讲，只靠简单的这些操作是暂时无法解决密码问题的在日常的工作中，对于一个网络管理员来讲最悲哀的事情莫过于在没有备用管理员账户和密码恢复盘的情况下遗忘了本地管理员账户密码。

在早期的系统中，遇到这种事情可以使用目前国内的很多Windows PE光盘来解决。

但是，对于Windows Server 2008 R2来讲，只靠简单的这些操作是暂时无法解决密码问题的。

但是，可以通过替换文件，使用变通的方法，可以在绕过登录的情况下，使用命令提示行方式，添加本地管理员账户或修改管理员账户密码。

具体操作方法是：一、使用Windows Server 2008 R2的安装光盘引导计算机启动。

完成安装映像加载后，进入语言选择界面，此时，按下“Shift+F10”，打开命令提示符界面，进入Windows目录所在分区（若是默认安装Windows，并使用的“系统保留”分区，则为D盘），并定为到“Windows\System32”目录下（如图1）。

图1二、找到该目录下的“osk.exe”文件，并将其删除（如图2）。

图2三、将当前目录下的“cmd.exe”重命名复制为“osk.exe”（如图3）。

图3四、重启计算机，等待开机启动完毕，点击左下角的“轻松访问”按钮，在弹出对话框中勾选“不使用键盘键入（屏幕键盘）”，并点击“确定”（如图4）。

图4五、由于在此前做了文件的替换，所以现在将打开的不是屏幕键盘，而是CMD命令提示符界面（如图5）。

图5六、利用net user命令修改本地管理员账户的密码（如图6）。

图6注：如果，不确定管理员账户名，可以在此新建一个用户，并将其加入到本地管理员组中，具体命令如下：net users adminuser P@ssw0rd /addnet localgroup administrators adminuser /add七、利用本地管理账户和修改后的密码进行正常登录（如图7）。

Windows server 2008 重置Administrator密码Windows server 2008 R2是目前最受欢迎的一款服务器操作系统，其在虚拟化、网络存取、信息安全等领域都有不错的应用，今天小编不是同大家介绍Windows server 2008 R2服务器操作系统优点的，下面主要同大家一起来看看当服务器管理员忘记密码，或系统被入侵，密码被恶意修改时，如何简单便捷的破解Windows server 2008 R2服务器操作系统的登录密码？1.准备好一张和当前Windows server 2008 R2系统版本和位数相近（最好相同）的系统镜像光盘或者ISO文件。

2.设置系统从光盘启动，出现安装系统的画面，点击下一步，出现“现在安装”的图片：3.点击“修复计算机”，出现以下提示：4.C盘是系统盘，点击下一步，如果安装的系统和使用的系统光盘或者镜像的版本和位数匹配的话，会出现“系统恢复选项”：5.点击“命令提示符”，将出现具有管理员权限的DOS窗口。

如图：6.在“命令提示符”中运行命令，重新生成新的osk.exe文件。

过程：先将原有C盘系统C：\Windows\System32\config\osk.exe的osk.exe文件备份，然后删除System32\config里面的osk.exe，将System32下面的cmd.exe复制为新的osk.exe.执行过程如下图：简单的方式是先到C:\Windows\System32\config\下面执行del osk.exe。

然后copyC:\Windows\System32\cmd.exeC:\Windows\System32\config\osk.exe.7.关闭DOS窗口，重启服务器，从硬盘启动到系统的登录界面：8.点击左下角的圆圈“轻松访问”，将出现：9.在“不使用键盘键入”上打勾，并且点击“确定”，将出现DOS窗口：10.在DOS窗口下，使用命令修改密码：命令为：net user administrator cqeis@其中net user是命令，administrator系统管理员账户的名称，cqeis@为新的系统密码。

Windows Server 2008如何改动服务器名称与管理员密码?来源：互联网作者：佚名时间：09-17 13:16:12【大中小】在WindowsServer2008的使用中往往会遇到重新命名服务器与修改ADMINISTRATOR密码的情况,由于一个服务器的密码关系到整个服务器的安全,所以在此是不可以疏忽的,需要的朋友可以参考下Windows Server 2008如何改动服务器名称与管理员密码?在进行初始化的时候也会遇到重新命名服务器与修改ADMINISTRATOR密码的情况。

这些工作对于服务器的安全与管理是十分重要的。

重新命名服务器一谈到服务器和客户端的命名，令人奇怪的事情常常出现。

很少有企业愿意花大量的时间考虑如何对自己的计算机的命名。

有些服务器的起名叫张三、李四、王五都可以。

但如果服务器的数量由原来的2台增长到20台、200台呢，我们马上就会进到一个“混乱的世界”。

先不去想该要如何规划了，先把任务完成。

你可以也看到了，Windows Server 2008安装完成后，默认为安装的计算机随机定义了一个名称，例如“WIN-PNK6NI00H89”，在任务表中我看到了简单的不能再简单得计算机名称：W2K8S1，但我真不清楚这代表什么？先不管这么多了，初始化的任务中提供计算机名更改功能，可以重命名计算机名称。

此任务的操作比较简单。

单击“提供计算机名和域”超链接，在“系统属性”对话框，在计算机描述中添加内容，如：“网络基础服务器W2K8S1”，这里表示为“Contoso公司的第一台服务器”（公司名称保密，后来补上了一个图）。

单击“更改”按钮，在“计算机名/域更改”页面中的“计算机名”文本框中，键入该计算机的名称，如图1所示。

更改计算机名称图.1更改计算机名称单击“确定”按钮，显示“计算机名/域更改”对话框，单击“确定”按钮，并重新启动服务器，完成计算机名称的更改。

启事，为了更好的使用，减轻管理员的负担，我们可以设计一套根据计算机用途、职能、部门、承载的业务系统，或是表明物理位置的方案。

windows 2008 r2 AD密码策略新装了一台windows 2008 r2 升為AD。

发现密码策略是灰色的，查看域安全策略及域default 策略，都是没有定义！！在域控制器上，执行本地策略，发现都是灰色不可修改状，没法设置？这是为何？？组策略分为两种：本地组策略和域组策略。

本地组策略本地组策略是指应用于本机，且设定后只会在本机起作用的策略，运行的方法为点开始–运行–然后键入gpedit.msc，在弹出本地组策略编辑器中即可进行设置。

域组策略域组策略是指应用于站点，域或者组织单元(OUs)的策略，它的最终作用对象通常是多个用户或者计算机，可以在DC上点开始–运行–然后键入gpmc.msc来运行。

针对您的问题，密码策略是属于域级别的策略，必须在默认域策略或链接到根域的新策略中定义。

所以虽然您可以在Default domain controller policy 中定义密码策略，但是因为Default domain controller policy只应用到了domain controllers 而不是整个域，所以在Default domain controller policy 中定义密码策略是无效的。

另外由于域组策略的优先级高于本地组策略的优先级，在域密码策略应用并生效后，所有已经加入域的电脑（包括DC）的本地策略中，密码相关设置都会变成灰色不可修改状态。

因为当一台服务器被提升为域控制器后，本地策略不再有效，取而代之的是默认域策略。

当我们点击开始–运行–然后键入gpedit.msc回车后，本地策略编辑器就会被打开。

而由于域组策略的优先级高于本地组策略的优先级，所有在域组策略中已经设定过的策略都将变为灰色不可修改状态（比如密码策略）。

如果您要修改密码策略，您可以使用以下方法：1．点击开始–运行–然后键入gpmc.msc，回车后打开“组策略管理”控制台。

2．展开到“域-> -> 组策略对象（是指您的域名）”。

以下过程是我成功修改密码的过程：
1.首先需要需要链接一个ISO文件
需要特别注意把“启用连接”勾上，这个地方坑了我好长时间。

不勾上，系统启动没办法CD-ROM Drive进入的。

2.关闭虚拟机。

以下面的方式打开虚拟机：
3进入BIOS界面—>选择Boot:确保启动方式是以CD-ROM Driver
4.然后重新启动。

重新启动后，会进入到安装系统界面。

5.点击下一步，在下一个界面左下面，第一行：Repair your computer（修复你的计算机），点击这个；
6.之后会进入到选择界面，选择Troubleshoot（故障排除）：
7.之后新的界面Advanced options（高级选项）,选择Command Prompt（命令提示）选项：
8.这个时候会出现一个命令提示框，需要输入以下命令：c:
cd windows\system32
ren utilman.exe utilman.exe.new
copy cmd.exe utilman.exe
8.关闭命令提示框，点击Continue(继续)；当出现欢迎界面，点击Windows key +U：
9.出现命令，输入以下命令：net user administrator "new password",关闭提示框，这个时候就可以使用你新设的密码登录了。

以上步骤成功修改了vmware虚拟机window server 2008/2012的密码。

win2008设置简单密码的图文教程
导读:因为win2008基本上是作为一个服务器的系统，所以为了保障系统的安全及严谨，win2008会在系统设置复杂且需频繁更改的密码，为了减少用户不必要的麻烦，我们就来和大家一起分享一下怎么来给win2008系统设置一个简单的密码。

解除这种麻烦的方法就是在密码策略里禁用复杂密码，操作如下：
gpedit.msc 计算机配置-Windows设置-安全设置-帐户策略-密码策略
密码策略的几个具体策略：
在图中显示的六条策设置中，密码必须符合复杂性要求—禁用密码最长使用期限
复杂密码禁用之后，再给密码使用期限设一个比较大的数字，这样就可以随意设置我们所熟悉、方便记忆的密码了。

为了保障系统，win2008系统可以说是十分的严禁，繁琐的密码问题虽然可以让系统更加的安全，但是经常这样的操作很让用户觉得很烦，所以用户们赶紧来为自己的win2008系统设置一个简单密码吧。

精通Windows Server2008多元密码策略之ADSIEDIT篇前言众所周之，目录服务器DC的安全性至关重要，而密码的保护又是安全性保护中很重要的一环。

为活动目录制定密码策略可以减少人为的和来自网络入侵的安全威胁，保证活动目录的安全。

AD管理员应该都知道，在Windows2000/2003上，密码策略只能指派到域(Site)上，不能单独应用于活动目录中的对象。

换句话说，密码策略在域级别起作用，而且一个域只能有一套密码策略。

统一的密码策略虽然大大提高了安全性，但是提高了域用户使用的复杂度。

举个例子来说，企业管理员的帐户安全性要求很高，需要超强策略，比如密码需要一定长度、需要每两周更改管理员密码而且不能使用上几次的密码;但是普通的域用户并不需要如此高的密码策略，也不希望经常更改密码并使用很长的密码，超强的密码策略并不适合他们。

为解决这个问题，在Win2008中引入了多元密码策略(Fine-Grained Password Policy)的概念。

多元密码策略允许针对不同用户或全局安全组应用不同的密码策略，例如:A.可以为管理员组指派超强密码策略，密码16位以上、两周过期;B.为服务帐号指派中等密码策略，密码30天过期，不配置密码锁定策略;C.为普通域用户指派密码90天过期等。

多元密码策略的诞生，满足了不同用户对于安全性的不同要求。

多元密码策略虽然满足了不同级别用户对于密码安全性的要求，但是配置多个密码策略为管理员增加了管理复杂度，管理起来也不是很方便，所谓鱼和熊掌不可兼得。

而我写这篇文章的初衷就是帮朋友尽快熟悉起这个功能，鱼和熊掌，我欲兼得！部署注意点多元密码策略部署要求有以下几点：A.所有域控制器都必须是Windows Server2008；B.域功能级别为2008Domain Functional Mode；如下图1所示：图1C.客户端无需任何变更；D.如果一个用户和组有多个密码设置对象（PSO，可以把PSO理解为和组策略对象GPO类似，通俗的理解为就是一条条的密码策略），那么优先级最小的PSO将最终生效;E.可以使用ADSIEDIT或者LDIFDE或者第三方工具进行管理;F.多元密码策略只能应用于活动目录中的用户和全局安全组，而不能应用于活动目录中的计算机对象、非域内用户和组织单元OU。