我在域级别应用了组策略来设置复杂密码。我希望为一个用户设置一个简单密码。根据我的研究,我转到特定 GPO 的委派选项卡,并为该用户帐户创建了一个自定义条目,权限为“读取 - 允许”,然后是“应用组策略 - 拒绝”。我仍然无法从最终用户帐户或 Active Directory 将其密码更改为简单密码。我在这里遗漏了什么?
答案1
如您所见,GPO 委派允许用户查看或管理 GPO,但不会将 GPO 应用于 OU 或用户。您需要做的是将 GPO 应用于用户或 OU。有两种方法可以做到这一点:
简单方法(最佳实践)
- 在 Active Directory 中创建一个 OU,并将用户移至该 OU
- 创建新的 GPO 或将现有 GPO 链接到该 OU
- 完成后运行更新在用户计算机上或等待默认时间以传播更改。
另一种方式(更难管理变化)
- 打开您创建的 GPO,然后转到“范围”选项卡
- 在安全过滤选项卡中添加所需的用户。
- 完成后运行更新在用户计算机上或等待默认时间以传播更改。
您应该远离安全过滤的原因是,它可能会在未来排除 GPO 故障时给您带来很大的麻烦。要确保 GPO 已应用于用户,请运行策略结果集程序 (RSoP 文档)。