我试图保持我的默认域策略干净且标准,并且我想为我的密码策略创建一个 GPO。
我做到了,但它仍然从默认域策略对象获取策略。
我想它之所以得到那个,是因为它是最严格的一个,但我会喜欢那个,我可以复制默认域策略,编辑那个,然后首先应用它,如果没有应用/更改/等,则应用默认域策略中的默认值。
是否可以?
答案1
您的密码策略可以包含在您创建的组策略中。为您创建的“默认域策略”没有什么特别之处。
您应该在根目录下应用策略以获得最佳效果。通过直接链接到那里或从根目录继承,而不会被阻止。密码策略是一种计算机政策并由具有密码数据库的计算机强制执行。对于您的活动目录,这是您的域控制器。
您可能已经在现有策略中拥有密码策略设置(它们处于默认安装中),因此确保此新策略的链接顺序与任何其他策略相同非常重要,但您可能应该从任何其他策略中删除密码设置以防止混淆。
如果您查看某个域控制器的组策略结果,您应该看到正在应用哪些策略和设置,以及如果遇到问题,从哪个策略对象应用。
单独的密码策略
政策链接顺序
政策结果。
答案2
除非您在某个地方使用 FGPP,否则默认域策略上设置的密码策略始终高于任何其他密码策略。
将它放在域的根目录下是可以的,它应该在那里。
如果您想应用单独的密码策略,则需要将默认策略中的所有密码设置设置为“未设置”,然后创建一个新的 GPO(或使用另一个预先存在的 GPO)以在相同或不同级别应用密码设置。
答案3
创建在 Active Directory 管理中心中定义的密码设置 > 选择您的域 > 选择系统容器 > 选择密码设置容器 > 选择“新建” > 选择密码设置。
您可以在此处应用基于与域策略无关的各个组或用户的策略。
使用优先级来管理可能适用于同一组用户的多个策略。
我希望这有帮助。
-贾斯汀
答案4
我以前尝试过,但没有成功。密码策略必须在默认域策略中应用才能起作用。