情况是这样的:
我需要在我的 AD 环境中有一个特定的容器,它可以阻止密码过期策略,但接受所有其他策略。这是否可以通过在子 OU 级别添加 GPO 来实现(所讨论的 OU 是设置了包括密码内容的 GPO 的 OU 的子级)。
这些帐户(和此 ou)已经存在,并将应用默认域策略以及其他策略,并且它们应该继续按照这些 GPO 接收策略设置,但密码过期除外。
我们已经尝试了密码永不过期复选框,但似乎没有起作用。
提前致谢。
基普
答案1
您没有提到您使用的是 Windows 2003 Active Directory 还是 Windows 2008 Active Directory。
在 Windows 2003 Active Directory 中,所有域用户帐户均受域根目录中应用的 GPO 所产生的帐户策略的约束。您不能让某些帐户具有不同的密码策略(到期时间、长度、锁定设置等)。(非域控制器计算机上的本地用户帐户可以具有不同的密码策略,但域用户都属于同一域密码策略)。
在 Windows 2008 Active Directory 中,当设置为 Windows 2008 功能级别时,您可以拥有“细粒度”密码策略。不过,Microsoft 并未通过组策略实现这一点。相反,使用了一种新型 Active Directory 对象。如果您可以使用细粒度密码策略,这里有一篇关于细粒度密码策略的文章可以帮助您入门: http://technet.microsoft.com/en-us/library/cc770394(WS.10).aspx
如果您停留在 Windows 2003 Active Directory 中,那么为部分用户制定不同的密码策略的唯一方法是创建另一个域并将帐户放在该域中。
答案2
您运行的是哪个版本的 Windows 服务器?如果您没有 2008 或您的域不在 2008 功能级别,这根本是不可能的。
这是一篇关于细粒度的密码策略。