密码不符合系统密码复杂性策略：密码策略一直是活动目录策略中比较特殊的一个策略，也是很多刚接触AD的朋友们经常遇到的问题。系统可能会提示“密码不符合系统密码复杂性策略”。这种情形无论是在域控制器上管理员更改用户账户密码，还是在客户端上用户更改自己的密码，都可能遇到。为了正确解决这个问题，就需要我们对密码复杂性有所了解，所谓密码复杂性，是指：

•	密码必须至少包含 6 个字符。
•	密码不能包含您的用户名或您的全名的任何部分。
•	密码必须至少包含下列四类字符中的三类： 说明 示例 英文大写字母 A, B, C, ...Z 英文小写字母 a, b, c, ... z 西方阿拉伯数字 0, 1, 2, ... 9 非字母数字（“特殊字符”） 标点和其他符号

密码复杂性的要求，被硬编码在 Passfilt.dll 文件中，且不能通过用户界面或注册表进行更改。关于此问题请参考 http://support.microsoft.com/kb/279890/zh-cn
一般情况下，微软不推荐大家禁止密码复杂性，这样会降低活动目录乃至整个基础架构的安全性。那么大家该用什么样的密码，才符合密码复杂性呢？其实也很简单，例如 Password! WindowITPro99 等等。但需要把握的一个原则是，不能太复杂，否则用户可能会把密码写在纸片上，放在桌子上，那就适得其反了。
关于如何在组织中强制使用强密码，请参考 http://www.microsoft.com/china/technet/security/sgk/enforce_strong_passwords.mspx
关于密码策略更为详细的介绍，请参考 http://www.microsoft.com/china/technet/security/guidance/secmod49.mspx#EDAA
需要提到的几点：
1、由于密码策略属于域策略，故而一般情况下，是修改Default domain policy。如果修改某个OU的密码策略，那么仅仅会影响该ou下的计算机本地账户，而不会影响到任何域账户。
2、如果在设置域密码策略之前，在用户账户属性中设置了相关的密码选项，那么最终以用户账户属性为准。
3、由于密码策略属于计算机策略，那么更改密码策略后，您可能需要重新启动所有域控制器，才会立刻产生效果。
4、由于密码策略属于计算机策略，那么更改密码策略后，您可能需要重新启动客户端计算机，才会立刻产生效果。
5、和众多写入注册表的策略一样，如果您想禁用密码复杂性，简单的将密码复杂性策略项设置为“未定义”是无效的，必须设置为一个确定的状态，即“禁止”。
如果您按照上面操作后，客户端仍然没有应用到更新后的密码策略，那么请参考这篇文章进行策略应用的故障排查 http://gnaw0725.blogbus.com/logs/4888491.html

gnaw0725注：一个相关的问题，刚接触活动目录的朋友们会经常遇到一个问题，特别是在Windows 2003的AD上，那就是刚刚建立一个域后，会发现用户无法变更自己的密码，系统提示“此时无法变更密码”。这是因为默认状态下，域在建立之初为了保障安全性，是存在一个密码最短存留期的，如果需要用户立刻就可以变更自己的密码，那么就需要在密码策略中，将密码最短存留期更改为0，关于这个操作请参考 http://support.microsoft.com/kb/273004/zh-cn

活动目录策略 密码策略的更多文章请参考
密码策略优先级|本地和域到底谁说了算活动目录SEO
密码不符合系统密码复杂性策略活动目录SEO
密码组策略不生效应用活动目录SEO
Windows2008RC1密码强度设置|组策略对象编辑器设置密码复杂性活动目录SEO
密码过期修改|密码组策略活动目录SEO

关于客户端无法更改密码活动目录SEO
主域控上的本地策略和Default Domain Policy冲突|本地策略、域策略以及 ...

活动目录策略的更多文章请参考 组策略group policy专题
－－－gnaw0725