我在工作中重置帐户之前使用 powershell 显示帐户密码的有效期。但据我所知,全球 GP 的有效期为 180 天,而有些员工的帐户的有效期为 90 天。这些其他策略设置在哪里,以便我可以查看它们的内容?
msDS-UserPasswordExpiryTimeComputed我在 powershell 中查询。
编辑:我运行gpresult /h c:\temp\gpresult.html后只找到以下结果
Account Policies/Password Policyhide
Policy Setting Winning GPO
Enforce password history 24 passwords remembered Default Domain Policy
Maximum password age 180 days Default Domain Policy
Minimum password age 0 days Default Domain Policy
Minimum password length 6 characters Default Domain Policy
Password must meet complexity requirements Disabled Default Domain Policy
Store passwords using reversible encryption Disabled Default Domain Policy
答案1
在更具体的部署(例如,仅适用于特定的计算机组)中可能存在具有更严格的密码重置要求的辅助 GPO。
我建议gpresult在受影响的机器上以管理权限运行 shell,以确定处理了哪些 GPO。
从机器本地的命令行:gpresult /h c:\temp\gpresult.html然后gpresult.html在浏览器中检查生成的文件。
您正在寻找的是已“获胜”设置密码策略的策略;在该页面上搜索“密码策略”和“最长密码使用期限”,找到相关策略,然后在页面右侧检查与已覆盖您在问题中提到的全局适用策略的值集相对应的“获胜 GPO”。
答案2
您可以从具有 Powershell 和 Powershell AD GPO 模块的计算机运行以下命令来查找所有具有密码设置的 GPO:
PS C:\temp\gpo> get-gpo -all | foreach { get-gporeport -name $_.displayname -reporttype xml -path ("c:\temp\gpo\" + $_.displayname + ".xml") }
PS C:\temp\gpo> gci *.xml | foreach {$_.name; gc $_.name | select-string "password[al]" -context 1 }
这将产生一些类似的输出,让您查看哪些 GPO 具有密码设置。
somePolicy1.xml
somePolicy2.xml
somePolicy3.xml
Default Domain Policy.xml
<q1:Account>
> <q1:Name>MaximumPasswordAge</q1:Name>
<q1:SettingNumber>30</q1:SettingNumber>
<q1:Account>
> <q1:Name>MinimumPasswordAge</q1:Name>
<q1:SettingNumber>0</q1:SettingNumber>
<q1:Account>
> <q1:Name>MinimumPasswordLength</q1:Name>
<q1:SettingNumber>6</q1:SettingNumber>
somePolicy4.xml
somePolicy5.xml
somePolicy6.xml
答案3
只有一个 GPO 可以为域设置密码策略,并且必须链接到域。如果您有多个 GPO 设置链接到域的密码策略,则优先级最高(链接顺序最低)的 GPO 是获胜的 GPO,并且是为域设置密码策略的 GPO。链接到 OU 的 GPO 中的密码策略将不适用。我猜您已经实施了细粒度密码策略。如果是这种情况,那么您应该看到在System|Password Settings ContainerActive Directory 用户和计算机下创建的 FGPP(您需要查看高级功能才能看到这一点)。