WinServer2025 – P14 How to Configure Fine-Grained Password Policy

Trong môi trường Active Directory truyền thống, bạn chỉ có thể sử dụng một Default Domain Policy duy nhất cho toàn bộ user trong domain. Điều này có nghĩa là mọi tài khoản – từ user thường đến Domain Admin – đều phải dùng chung một chính sách mật khẩu.

Tuy nhiên, với cấu hình Fine-Grained Password, bạn có thể tạo nhiều chính sách mật khẩu khác nhau trong cùng một domain, áp dụng riêng cho từng nhóm người dùng theo mức độ bảo mật.

Bài viết này sẽ hướng dẫn chi tiết cách cấu hình Fine-Grained Password Policy trong Windows Server 2025 bằng giao diện GUI theo đúng best practice.

1️⃣ Definition

🔐 Fine-Grained Password Policy (FGPP) là gì?

FGPP cho phép bạn thiết lập NHIỀU chính sách mật khẩu khác nhau trong CÙNG MỘT DOMAIN.

Mặc định:

• Default Domain Policy → chỉ có một policy áp dụng cho tất cả user.

Fine-Grained Password Policy giúp quản trị viên áp dụng các chính sách mật khẩu riêng biệt cho từng nhóm người dùng thay vì bị giới hạn bởi một policy duy nhất.

Vì sao cần Fine-Grained Password?

Trong môi trường thực tế, không phải tài khoản nào cũng yêu cầu mức bảo mật giống nhau.

Ví dụ:

• Domain Admin → 15–20 ký tự, phức tạp cao

• IT/Server Admin → 14–16 ký tự

• Regular User → 8–10 ký tự

• Service Account → Password never expires

👉 Linh hoạt hơn và bảo mật hơn.

Ví dụ thực tế (dễ hiểu)

🎯 Yêu cầu:

• Regular User → tối thiểu 8 ký tự

• IT Admin → tối thiểu 14 ký tự

• Service Account → không hết hạn mật khẩu (ví dụ: snipe, glpi, user ldap…)

Cách triển khai:

• Default Domain Policy:

  • Min length = 8

• FGPP:

  • PSO-IT-Admin → Min 14

  • PSO-Service → Password never expires

➡️ Trong cùng một domain, mỗi group sử dụng policy riêng.

Thứ tự ưu tiên FGPP (dễ nhầm lẫn)

Nếu một user thuộc nhiều PSO:

👉 PSO có giá trị “Precedence” nhỏ hơn sẽ được ưu tiên áp dụng.

Ví dụ:

• PSO-Admin → Precedence = 1

• PSO-User → Precedence = 10

➡️ User thuộc cả hai group → PSO-Admin được áp dụng.

📌 Số càng nhỏ → ưu tiên càng cao.

Nếu user KHÔNG được gán PSO → hệ thống sẽ sử dụng Default Domain Policy.

2️⃣ Configuration

CONFIGURING FGPP USING GUI (RECOMMENDED)

Step 1 – Mở Active Directory Administrative Center (ADAC)

Trên Domain Controller:

Start → Administrative Tools → Active Directory Administrative Center

Trong ADAC:

Domain (tsf.local)

→ System
→ Password Settings Container

📌 Tất cả FGPP được cấu hình tại đây, KHÔNG nằm trong OU.

Step 2 – Tạo FGPP cho IT Admin

🔹 Right-click → New → Password Settings

🔹 Cấu hình như sau:

Name: PSO-IT-Admin
Precedence: 1 (ưu tiên cao nhất)

Password settings

• Minimum password length: 14

• Password must meet complexity: ✅

• Maximum password age: 90 days

• Enforce password history: 24

• Minimum password age: 1 day

Lockout

• Account lockout threshold: 5

• Lockout duration: 30 minutes

• Reset lockout counter: 30 minutes

Gán policy cho IT Admin group

Trong mục Directly Applies To:

• Add → chọn Security Group (ví dụ: IT-Admins / Domain Admins / IT Helpdesk)

📌 Best practice: Gán FGPP cho GROUP, không gán trực tiếp cho user.

👉 Click OK.

Step 3 – Tạo FGPP cho Service Account

Thực hiện tương tự:

Name: PSO-Service-Account
Precedence: 2

Password settings

• Minimum password length: 20

• Password complexity: ✅

• Maximum password age: 0 (Password never expires)

• Enforce password history: 0

Lockout

• Account lockout threshold: 0 (không khóa)

Directly Applies To

• Group: Service-Accounts

👉 Click OK.

Step 4 – Kiểm tra FGPP đã áp dụng cho user (RẤT QUAN TRỌNG)

Chọn một user bất kỳ → Right-click → Properties

👉 Tab Password Settings

Bạn sẽ thấy:

Resultant Password Settings:
PSO-IT-Admin

➡️ Nếu hiển thị đúng PSO → cấu hình thành công 100%.

Hoặc kiểm tra bằng PowerShell

Ví dụ:

Nếu trả về đúng PSO → Fine-Grained Password hoạt động chính xác.

Vì sao cấu hình Fine-Grained Password là bắt buộc trong doanh nghiệp?

Trong môi trường IT hiện đại:

• Tài khoản quản trị cần bảo mật cao hơn user thường

• Service account không nên bị hết hạn mật khẩu gây gián đoạn dịch vụ

• Yêu cầu tuân thủ bảo mật ngày càng nghiêm ngặt

Nếu không dùng Fine-Grained Password:

• Chỉ có một policy cho toàn domain

• Thiếu linh hoạt

• Khó đáp ứng tiêu chuẩn bảo mật

Nếu cấu hình Fine-Grained Password đúng cách:

• Áp dụng chính sách theo vai trò

• Tăng bảo mật cho tài khoản đặc quyền

• Kiểm soát policy riêng cho service account

• Dễ quản lý và mở rộng

Đây là giải pháp giúp nâng cao bảo mật mà không cần thay đổi cấu trúc domain.

✅ Kết luận

Cấu hình Fine-Grained Password trong Windows Server 2025 cho phép bạn triển khai nhiều chính sách mật khẩu trong cùng một domain.

Bạn có thể:

• Thiết lập chính sách mạnh hơn cho Admin

• Giữ policy phù hợp cho user thường

• Cấu hình mật khẩu không hết hạn cho service account

• Kiểm soát thứ tự ưu tiên bằng Precedence

Trong môi trường Active Directory production, Fine-Grained Password Policy là một cấu hình bảo mật cốt lõi giúp hệ thống an toàn và linh hoạt hơn.