我正在审查由前任管理员设置的复杂密码策略,并试图澄清可逆加密的设置。在我们的组织中,可逆加密是不需要的,应该禁用。当我审查现有的 GPO 时,我可以看到设置:
使用可逆加密存储密码:未定义
我的理解是,如果将其设置为“未定义”,则默认值将设置为已禁用,但也许我错了。当我在系统上运行 rsop 时,它反映的是“未定义”状态。
然而,我有点困惑的是,当我运行 PS cmdlet Get-ADDefaultDomainPasswordPolicy 时,我看到 ReversibleEncryptionEnabled 属性被设置为 True。
根据我的密码策略 GPO 的配置方式,这难道不应该反映已禁用的情况吗?
答案1
这意味着该设置曾经被启用,然后更改为未配置。
您需要将设置更改为“禁用”才能恢复。
您可能还想启用以下设置:
管理模板 > 系统 > 组策略安全策略处理:即使组策略对象没有改变也要进行处理
如果您想确保设置得到一致应用,请对注册表策略处理执行相同的操作。