Uma das limitações encontradas no Active Directory do Windows Server 2000 e 2003 era que a nível de domínio, era possível especificar apenas 1 política de senhas (quando digo política, me refiro à complexidade, tamanho, tempo de vida mínimo e máximo, especificações de lockout, etc).

Algumas vezes, dependendo de políticas de segurança ou necessidade das empresas, era necessário criar-se um domínio adicional apenas para "implementar" uma solução de múltiplas políticas de senha.

No Windows Server 2008, há um recurso muito interessante chamado "Fine-Grained Password Policies", que na verdade, significa justamente isto: a possibilidade de se implementar múltiplas políticas de senha para usuários de domínio em um mesmo domínio.

Essa nova característica trabalha basicamente com dois novos objetos no schema do AD: PSC (Password Settings Container) e PSO (Password Settings Object).

Você pode criar múltiplos objetos de senha e "linkar" em usuários ou grupos (notem, usuários ou grupos e nào OUs - Organization Units).

Assim, dependendo do grupo que pertence, o usuário pode aplicar uma ou outra política. Logicamente, há um controle de "conflitos", via configuraçào de precedencia e tudo mais.

A idéia é dar flexibilidade ao administrador de rede e permitir que ele consiga implementar este recurso em domínios Windows Server 2008 (este é um pré-req == o domínio deve estar em modo Nativo Windows Server 2008).

Para maiores informações e como se implementar tal recurso, aconselho o artigo AD DS: Fine-Grained Password Policies