我们有一台使用 AAD DS 作为域的 Azure VM(Windows Server 2012 R2)。我在域中有一个 O365 帐户(最初用于将 VM 加入域),并且在计算机上有一个本地管理员帐户。
我无法使用任何一个帐户修改密码策略。(GPO > 计算机配置 > Windows 设置 > 安全设置 > 帐户策略 > 密码策略 > 最长密码使用期限)
GP 的密码策略部分有小锁图标。
在哪里/如何更改这些设置?Azure 门户中似乎没有地方可以编辑 AAD DS 的组策略。有没有办法解锁这些设置?
答案1
我无法使用任何一个帐户修改密码策略。
您需要属于AAD DC 管理员组在您的目录中,管理托管域的组策略。您可以在托管域 VM 上安装 AD 管理工具。
- 打开服务器管理器。单击添加角色和功能。
- 在“功能”页面上,单击以展开“远程服务器管理工具”节点,然后单击以展开角色管理工具节点。选择AD DS 和 AD LDS 工具角色管理工具列表中的功能。
- 完成安装。
然后你会发现两个容器亚美尼亚开发计算机公司和AADDC 用户分别来自AADDC 用户容器中,你会看到AAD DC 管理员组。
更多细节:管理 Azure Active Directory 域服务托管域Administer an Azure Active Directory Domain Services managed domain。
在哪里/如何更改这些设置?Azure 门户中似乎没有地方可以编辑 AAD DS 的组策略。有没有办法解锁这些设置?
您需要在虚拟机上安装组策略工具。
- 启动服务器管理器,在功能页面上,选择组策略管理功能。然后完成安装。
- 单击“组策略管理”以启动组策略管理控制台。查找您托管域的组策略。
- 右键单击 GPO,然后单击编辑... 以自定义内置 GPO。组策略配置编辑器工具使您能够自定义 GPO。
您现在可以使用组策略管理编辑器控制台来编辑内置 GPO。