Im Active Directory gibt es eine standardmäßige Gruppenrichtlinie für die Einstellungen der Kennwörter verwandt. Diese sind im Regelfall in der „Default Domain Policy“ verankert. Als Erweiterung der Konfigurationsmöglichkeit wurden die fein abgestimmten AD-Kennwortrichtlinien (Fine-grained Password Policy / FGPP) mit Windows Server 2008 eingeführt.
Mit dieser Methode ist es möglich verschiedene Kennwort-Parameter für Benutzer festzulegen. Die Einstellungen zur Aushandlung der Computer-Kennwörter wird weiterhin von der Standard-Richtlinie übernommen.
Da die Funktionalität entweder per Powershell oder ADSIEdit zur Verfügung oder bearbeitet werden muss, ist es für die Administration einfacher, dieses über eine AD-Gruppe zu verwaltet. Allerdings ist dabei auf eines zu achten: Es funktioniert nur mit einer globalen AD-Gruppe.
Alle anderen Gruppenformen werden bei der Zuordnung der Definition ignoriert. Wird eine Gruppe von der globalen Gruppe in eine andere Form überführt, greift automatisch die Standard-Richtlinie. Somit sollte man sich beim Einsatz von Gruppen für die Verwaltung der Benutzerzuordnung überlegt werden, ob die Gruppenform mit einem Skript oder einer Applikation überwacht wird.