我收到了一项要求,需要将单个用户排除在公司的密码策略之外(如果你问的话,就是首席执行官)。
因此,我尝试了以下操作,但没有成功。
- 我已将默认域密码设置复制到新对象。
- 我已对经过身份验证的用户启用了该新对象。
- 在域密码委派设置中,我添加了特定用户,并且在:应用复选框中 - 我将其设置为拒绝
*我还应该设置拒绝读取选项吗?
我可以看到,当用户登录时,gpresult 显示已应用域密码 GP,但是,他仍然受到与域中其余成员相同的限制。
问:我做错了什么?——:如何从域策略中排除用户?
非常感谢
答案1
Windows Active Directory 有两种不同的密码策略样式:
- 您在默认域策略(或链接到域根对象的另一个 GPO)中设置的适用于所有内容,无一例外(2000-2008r2)
- A细粒度密码策略允许您为不同的组设置不同的策略,但也有例外 (2008-2008r2)
第一种类型由于“无例外”条款而很难使用。像您这样的特殊用户无法适应,某些关键实用程序用户(例如所有 Web 应用程序用于 LDAP 绑定的用户)也无法适应。这就是细粒度密码策略诞生的原因。
FGPG 是不是基于 GPO,它们通过完全不同的机制应用。但是,您确实需要处于 Server 2008 功能级别才能使用它们。它们可以允许您为除特殊组之外的所有用户设置单一密码策略,并为该组设置完全不同的策略。或者为每个特殊用户设置不同的策略。它甚至有一个处理策略重叠的机制,以确定当可以应用多个策略时哪个策略会获胜。
Server 2000 风格的适用于所有人的密码策略可能很难理解。它只在一个地方设置,即链接到域根对象的 GPO。这些设置在任何 GPO 中都可见,但在未链接到根的策略中设置时,它们不会执行任何操作。