Un tema que he visto muchas preguntas es sobre la posibilidad de tener diferentes configuraciones de contraseñas y bloqueo de cuentas a diferentes grupos de Dominio.
Esto no se puede hacer hasta Windows Server 2003 – 2003-R2. Si existía la necesidad de implementarlo, la única forma era crear Dominios diferentes, y hacerse cargo de la complejidad que eso implica
A partir de Windows Server 2008, la posiblidad está disponible, sólo que el procedimiento no es fácil e intuitivo.
Para aquellos que les interese vean: Active Directory Domain Services (AD DS) Fine-Grained Password and Account Lockout Policy Step-by-Step Guide:
http://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx
Pero a partir de Windows Server 2012 es mucho más sencillo