我查了一下IT幫幫忙跟密碼原則相關的問題，看起來是沒有人提過比較詳細的解答，

我剛好又想休息所以跑上來看文章了，我不知道文章可以保留多久，就留個完整的吧，

有的回答還只是剛好"會動"，知道的人就知道什麼意思。

關鍵字是"Domain Password Policy"去GOOGLE找，微軟論壇也有提過，

首先!!，在Windows Server Domain上面，

第1 一個網域只能套用一個密碼原則，跟套用的GPO是不是Default Domain Policy無關

第2 這個GPO的密碼原則只能套用在Domain的"根"上面

第3 套用在任何容器或者自建的組織單位OU都不會有效果

第4 密碼原則套用的對象是"電腦物件"，不是"使用者帳戶物件"

再來是Server 2012 開始引進的Password Settings Policy — PSO

這個規則是套用在User或者Group上面，當被套用的時候會比GPO更為優先採用

你可以在 Active Directory 管理中心內找到設定的頁面

也可以利用Powershell在DC上建立，當有多個PSO被套用時，請自行設定優先順序

Active Directory 使用者和電腦，其實也看的到，只是無法新增規則進去

GPO在更改密碼有效期限時，只有新創帳戶跟修改密碼時，會套用被你更新過的規則，

所以如果有效期限90天，你修改變成了30天，當網域套用新規則後，

所有帳戶都還是維持舊的90天規則，只有當舊用戶更新過密碼，或者管理者新建帳戶了

新的30天有效日期規則才會被套用，

所以，如果你要測試套用規則的變化，請直接拿"帳戶鎖定原則"來使用，

密碼錯誤幾次之後，會造成帳戶直接鎖定這個規則是最直接的，不會有上述的問題

希望可以幫助到以後，有這方面問題困擾的Windows Server admin