密码必须符合复杂性要求：不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分；至少有六个字符长；包含以下四类字符中的三类字符：英文大写字母(A 到Z)、英文小写字母(a到z)10个基本数字(0到9)、非字母字符(例如!、$、#、%)，在更改或创建密码时执行复杂性要求
密码长度最小值：此安全设置确定用户帐户密码包含的最少字符数，可以将值设置为介于1和14个字符之间，或者将字符数设置为О以确定不需要密码
密码最长使用期限：此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)；可以将密码设置为在某些天数(介于1到999之间)后到期，或者将天数设置为0，指定密码永不过期；如果密码最长使用期限介于1和999天之间，密码最短使用期限必须小于密码最长使用期限；如果将密码最长使用期限设置为0，则可以将密码最短使用期限设置为介于0和998天之间的任何值
密码最短使用期限：此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于1和998天之间的值，或者将天数设置为0，允许立即更改密码；密码最短使用期限必须小于密码最长使用期限，除非将密码最长使用期限设置为0，指明密码永不过期；如果将密码最长使用期限设置为0，则可以将密码最短使用期限设置为介于0和998之间的任何值；如果希望“强制密码历史"有效，则需要将密码最短使用期限设置为大于О的值；如果没有设置密码最短使用期限，用户则可以循环选择密码，直到获得期望的旧密码。默认设置没有遵从此建议，以便管理员能够为用户指定密码，然后要求用户在登录时更改管理员定义的密码；如果将密码历史设置为0，用户将不必选择新密码。因此，默认情况下将“强制密码历史"设置为1
强制密码历史：此安全设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯—新密码数；该值必须介于0个和24个密码之间；此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性
用可还原的加密来储存密码：用可还原的加密来储存密码，此安全设置确定操作系统是否使用可还原的加密来储存密码；此策略为某些应用程序提供支持，这些应用程序使用的协议需要用户密码来进行身份验证；使用可还原的加密储存密码与储存纯文本密码在本质上是相同的；因此，除非应用程序需求比保护密码信息更重要，否则绝不要启用此策略；通过远程访问或 Internet身份验证服务(IAS)使用质询握手身份验证协议(CHAP)验证时需要设置此策略；在Internet信息服务(IlS)中使用摘要式身份验证时也需要设置此策略

在本地安全策略的界面上，点开账户策略，点击密码策略，能够查看到这些密码的策略，根据对账户的密码要求设置密码策略就行

点击放宽最小密码长度限制的密码策略，选择已启用，点击确定，然后点击是

2、账户锁定策略

帐户锁定时间：此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从О到99999分钟。如果将帐户锁定时间设置为0，帐户将一直被锁定直到管理员明确解除对它的锁定；如果定义了帐户锁定阈值，则帐户锁定时间必须大于或等于重置时间
帐户锁定阈值：此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定帐户。可以将登录尝试失败次数设置为介于0和999之间的值。如果将值设置为0，则永远不会锁定帐户。在使用Ctrl+Alt+Del或密码保护的屏幕保护程序锁定的工作站或成员服务器上的密码尝试失败将计作登录尝试失败
重置帐户锁定计数器：此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为0次错误登录尝试之前需要的时间。可用范围是1到99,999分钟。如果定义了帐户锁定阈值，此重置时间必须小于或等于帐户锁定时间

在本地安全策略的界面上，点开账户策略，点击账户锁定策略，能够查看到这些账户锁定的策略，根据对账户的密码要求设置账户锁定策略就行