如何仅为一个组织单位创建 GPO?
我想要创建的 GPO 非常简单,它只是设置最小密码长度。鉴于我不希望所有用户都拥有相同的密码策略,我希望仅将 GPO 应用于特定 OU 内的用户。
我尝试直接在 OU 上“在此域中创建一个 GPO,并将其链接到这里”,但看起来该 GPO 并没有覆盖默认 GPO。
谢谢。
答案1
您只需在组策略管理控制台中链接到您在相应级别/OU 创建的 GPO,即可将 GPO 应用于 OU。
但是,这对于您要做的事情不起作用。与密码策略相关的 GPO 只能在域级别设置。为了将策略应用于域用户的子集,您需要使用细粒度密码策略。
这些可以在组级别应用,因此您需要确保您希望通过此新策略影响的所有用户都是相应组的成员。
要在 Windows 2012 域上执行此操作,请从安装了 RSAT 的 DC 或 Windows 8 工作站执行以下操作:
- 从“开始”屏幕输入 DSAC.EXE 来启动目录服务管理中心。
- 导航到 System\Password 设置容器
- 右键单击并选择新建或使用任务菜单下的新建。
- 选择密码设置
从那里开始一切都相当不言自明了。
如果您使用的是 Windows 2008 或 2008R2,那么您仍然可以使用细粒度密码策略,但管理起来不那么容易。说实话,我在这个级别的建议是考虑升级,但一些指南这也许在这里也会有用。
如果您的 DC 运行的是旧版本的 Windows(或者您正在运行较新的 DC,但域功能级别尚未升级),那么您别无选择,只能升级。
答案2
常规密码策略比较特殊 - 整个域只能有一个密码策略。
从 Server 2008 开始,可以使用细粒度密码策略来仅为域的特定部分设置密码要求:
http://technet.microsoft.com/en-ca/library/cc770394(v=ws.10).aspx
即使如此,您也不能直接将它们应用于 OU。它们仅适用于用户或组 - 因此您必须创建一个包含所有要应用它的人员的组。
这一页有一个示例 powershell 脚本,它将作为计划任务运行并更新组成员以仅包含 OU 的成员。这将在您从 OU 添加/删除人员时使组和 OU 保持同步。
答案3
希望您已经创建了细粒度密码策略,在 GPMC 控制台中,您必须在要应用 GP 的 OU 下创建一个新的 GP。定义 GP 后,选择“已启用链接”,如果有任何子 OU,您可以选择“阻止继承”。因此,理想情况下,只有您已应用 GP 的 OU 才会被链接。其次,如果您希望多个 OU 应用 GP,您可以选择 OU 并从控制台链接现有 GP。