Introdução
O Fine-Grained Password é um novo Objeto do Active Directory no Windows Server 2008 e permite que os administradores de rede criem políticas de senhas distintas para determinados grupos de usuários dentro do mesmo domínio.
Gerenciamento de senhas antes do Windows Server 2008
Antes do Windows Server 2008, só era possível criar uma Política de Senha para todos os usuários do domínio. Veja o exemplo da figura 1:


[Figura 1: Gerenciamento Anterior]

Antes do Windows Server 2008, os administradores de redes tinham disponível apenas uma configuração de Política de Senha para todo o domínio. Todos os usuários que fossem afetados pela GPO que continha a definição da Política de Senha recebiam a mesma configuração. Com isso caso um usuário, como um diretor, precisasse ter uma política diferenciada não era possível aplicar esta configuração.

Com o Windows Server 2008 é possível criar o objeto Password Settings Object (PSO) que permite a criação de diversas diretivas que serão aplicadas a diferentes Grupos ou Usuários. Veja o exemplo da figura 2:


[Figura 2: Gerenciamento Atual]

Criando o objeto Password Settings Object

Para criar o objeto PSO é preciso utilizar o ADSIEdit, que se encontra dentro de Administrative Tools. Ao abrir o ADSIEdit, clique com o botão direito em ADSI Edit e selecione Connect to, conforme figura 3:


[Figura 3: Connect to]

Clique em OK, conforme figura 4:


[Figura 4: Connection Settings]

Expanda a árvore do Domínio e navegue até o objeto CN=System. Abra o objeto CN=Password Settings Container. Clique com o botão direito neste objeto e selecione New / Object, conforme figura 5:


[Figura 5: New Object]

Clique em Next, conforme figura 6:


[Figura 6: Create Object]

Digite o nome do PSO, conforme figura 7:


[Figura 7: Common-Name]

Selecione o valor da precedência que será utilizada para resolver conflitos com outros objetos PSO que estão sendo aplicados a um usuário, conforme figura 8:


[Figura 8: Settings Precedence]

Digite TRUE ou FALSE para informar se deseja armazenar utilizando criptografia reversivel, conforme figura 9:


[Figura 9: Reversible Encryption Status]

Digite o numero de senhas que serão armazenadas no histórico, conforme figura 10:


[Figura 10: Password History Length]

Digite TRUE ou FALSE para indicar se deseja utilizar a complexibilidade de senhas, conforme figura 11:


[Figura 11: Password History Length]

Digite o comprimento mínimo da senha, conforme figura 12:


[Figura 12: Minimum Password Length]

Digite o valor da idade mínima da senha, conforme figura 13:


[Figura 13: Minimum Password Age]

Digite o valor da idade máxima da senha, conforme figura 14:


[Figura 14: Maximum Password Age]

Digite o número de tentativas inválidas para bloqueio, conforme figura 15:


[Figura 15: Lockout Threshold]

Digite o valor para resetar o contador de tentativas, conforme figura 16:


[Figura 16: Observation Window]

Digite o valor com a duração do bloqueio de conta, conforme figura 17:


[Figura 17: Lockout Duration]

Clique em Finish para finalizar o Assistente, conforme figura 18:


[Figura 18: Finish]

Neste momento o Password Settings Object foi criado, mas não foi aplicado a nenhum grupo ou usuário.

Aplicando o PSO ao Grupo de Usuários

Para aplicar o PSO ao Grupo de Usuários, abra as propriedades do PSO, conforme figura 19:


[Figura 19: PSO Properties]

Selecione o atributo msDS-PSOApliesTo, clique em Edit e selecione o grupo desejado, conforme figura 20:


[Figura 20: Select Groups]

Clique em OK em todas as janelas para fechar as propriedados do PSO. Neste momento o PSO foi aplicado ao grupo de usuários que você selecionou.

Conclusão
Neste artigo, vimos como criar os objetos PSO para aplicar Políticas de Senhas distintas aos usuários da rede. É possível criar diversos PSOs e aplicar a diversos grupos diferentes.

Referências + Tópicos Relacionados
O Assunto abordado neste artigo é aplicado ao curso MOC 6425A- Configuring and Troubleshooting Windows Server 2008 Active Directory Domain Services.