我在 Server 2003 上有一个默认域策略,其中要求密码和复杂性检查至少包含 8 个字符。
现在我创建了一个新的 OU,并将我自己作为该 OU 中的用户,并将我的计算机也放在该 OU 中。然后我创建了一个新的组策略并将其链接到该 OU。新 GP 的最低密码限制为 6。我在服务器和我的计算机上运行了 gpupdate,运行 gpresult 确实显示了正在应用于计算机的策略。
但当我尝试更改密码时,它仍然要求密码至少包含 8 个字符。我还检查了计算机的本地策略,它也已更改为至少包含 6 个字符。
那么为什么仍要求我提供 8 呢?
答案1
这是因为 AD 2003 树中的密码策略是域范围。对于 AD 2003,默认域策略中指定的密码策略优先于其他任何地方设置的密码策略。如果没有,则没有人有。您无法在 2003 树中的策略中进行 OU 级更改。
微软在 AD 2008 中通过其“细粒度密码策略”引入了此功能,并且这些策略不是由 GPO 设置的。这是一个完全不同的系统。
微软有一篇关于此问题的精彩文章:http://technet.microsoft.com/en-us/magazine/2007.12.securitywatch.aspx
答案2
从这地点 -
尽管如此,许多管理员认为可以为同一个域中的用户设置多个密码策略。他们认为您可以创建一个 GPO 并将其链接到组织单位 (OU)。其想法是将用户帐户移动到 OU,以便 GPO 影响对象。在 GPO 中,可以修改帐户策略以创建更安全的密码策略,例如将最大密码长度设置为 14 个字符。但是,由于多种原因,此配置永远不会提供预期的结果。首先,密码策略设置是基于计算机的策略,而不是基于用户的策略。有了这个设置基础,它们永远不会影响用户帐户。其次,修改域用户帐户的帐户策略设置的唯一方法是在链接到域的 GPO 内。链接到 OU 的 GPO 配置为更改帐户策略设置,将修改驻留在 OU 中或位于链接 OU 的子 OU 中的计算机的本地 SAM。
长话短说,在 Windows 2003 域中,您只能拥有一个密码策略。Windows 2008 域引入了允许多个密码策略的细粒度密码策略。
答案3
密码策略仅适用于一个(1)地方->域策略。