我们只有一个 DC,并尝试对所有计算机强制实施密码策略。我们尝试将其从默认的 42 天最大密码使用期限更改为 120 天左右。该策略似乎已在我们的计算机上设置,但实际上不起作用。无论 GPO 怎么说,我们的用户最终都会每 30 天左右更改一次密码。我们只有一个 GPO 正在设置密码策略。
当我对今天必须更改密码的用户执行网络用户名时,它显示他们直到 2015 年 4 月 8 日才必须再次更改密码,并说上个月 3 月左右他们必须更改密码。
有什么想法可以解释为什么 120 天密码过期功能不起作用吗?
密码策略:
强制密码历史记录记住 6 个密码
密码最长使用期限 120 天
密码最短使用期限 1 天
密码最小长度 7 个字符
密码必须符合复杂性要求 已禁用
使用可逆加密存储密码已禁用
帐户锁定政策:
账户锁定时长 5 分钟
帐户锁定阈值 20 次无效登录尝试
5 分钟后重置账户锁定计数器
答案1
通过在 OU 上创建 GPO,这对于您要执行的操作不起作用。与密码策略相关的 GPO 只能在域级别设置。但是,为了将策略应用于域用户的子集,您需要使用细粒度密码策略。
这些可以在组级别应用,因此您需要确保您希望通过此新策略影响的所有用户都是相应组的成员。
要在 Windows 2012 域上执行此操作,请从 DC 执行以下操作。
- 从“开始”屏幕输入 DSAC.EXE 来启动目录服务管理中心。
- 导航到 System\Password 设置容器
- 右键单击并选择新建或使用任务菜单下的新建。
- 选择密码设置
- 为用户或组创建新的密码策略。
- 如果您创建了多个策略,请设置其优先级,因此数字越低,优先级越高。
从那里开始一切都相当不言自明了。