Fine-grained Password Policy можно применять к пользователям или группам для того, чтобы ПЕРЕОПРЕДЕЛИТЬ параметры безопасности, заданные в Default Domain Policy. Данные политики можно настраивать через Active Directory Administration Center, либо с помощью PowerShell.

Посмотреть все fine-grained политики, существующие в домене, можно так:

Get-ADFineGrainedPasswordPolicy -Filter *

Создать новую с заданными параметрами с помощью PS:

$policyParams = @{
    Name = "SomePolicy"
    ComplexityEnabled = $true
    LockoutDuration = "00:10:00"
    LockoutObservationWindow = "00:10:00"
    LockoutThreshold = "100"
    MaxPasswordAge = "999.00:00:00"
    MinPasswordAge = "1.00:00:00"
    MinPasswordLength = "8"
    PasswordHistoryCount = "24"
    Precedence = "50"
    ReversibleEncryptionEnabled = $false
    ProtectedFromAccidentalDeletion = $true
}

New-ADFineGrainedPasswordPolicy @policyParams

Precedence в данном случае будет определять приоритет данной конкретной политики в случае совпадения с другими fine-grained policies.

Созданные политики будут располагаться в системном контейнере, пример для созданной политики:

CN=SomePolicy,CN=Password Settings Container,CN=System,DC=arasaka,DC=local

Теперь можно назначать политику группе, используя её имя:

Add-ADFineGrainedPasswordPolicySubject SomePolicy -Subjects SomeGroup

Проверить какая политика назначена конкретному пользователю:

Get-ADUserResultantPasswordPolicy -Identity SomeUser

Поменять какой-либо параметр в уже созданной политике, пример:

Set-ADFineGrainedPasswordPolicy SomePolicy -PasswordHistoryCount:"30"

Если при создании политка была защищена от случайного удаления, потребуется прежде всего изменить данное свойство:

Set-ADFineGrainedPasswordPolicy -Identity SomePolicy -ProtectedFromAccidentalDeletion $False

Теперь можно удалить саму политику:

Remove-ADFineGrainedPasswordPolicy SomePolicy