Fine-grained Password Policy можно применять к пользователям или группам для того, чтобы ПЕРЕОПРЕДЕЛИТЬ параметры безопасности, заданные в Default Domain Policy. Данные политики можно настраивать через Active Directory Administration Center, либо с помощью PowerShell.

Посмотреть все fine-grained политики, существующие в домене, можно так:

Get-ADFineGrainedPasswordPolicy -Filter *

Создать новую с заданными параметрами с помощью PS:

$policyParams = @{
    Name = "SharedMBXs"
    ComplexityEnabled = $true
    LockoutDuration = "00:10:00"
    LockoutObservationWindow = "00:10:00"
    LockoutThreshold = "100"
    MaxPasswordAge = "999.00:00:00"
    MinPasswordAge = "1.00:00:00"
    MinPasswordLength = "8"
    PasswordHistoryCount = "24"
    Precedence = "50"
    ReversibleEncryptionEnabled = $false
    ProtectedFromAccidentalDeletion = $true
}

New-ADFineGrainedPasswordPolicy @policyParams

Precedence в данном случае будет определять приоритет данной конкретной политики в случае совпадения с другими fine-grained policies.

Созданные политики будут располагаться в системном контейнере, пример для созданной политики:

CN=SharedMBXs,CN=Password Settings Container,CN=System,DC=arasaka,DC=local

Теперь можно назначать политику группе, используя её имя:

Add-ADFineGrainedPasswordPolicySubject SharedMBXs -Subjects SomeGroup

Проверить какая политика назначена конкретному пользователю:

Get-ADUserResultantPasswordPolicy -Identity SomeUser

Поменять какой-либо параметр в уже созданной политике, пример:

Set-ADFineGrainedPasswordPolicy SharedMBXs -PasswordHistoryCount:"30"

Если при создании политка была защищена от случайного удаления, потребуется прежде всего изменить данное свойство:

Set-ADFineGrainedPasswordPolicy -Identity SharedMBXs -ProtectedFromAccidentalDeletion $False