GPO 密码策略仅部分应用

GPO 密码策略仅部分应用

我们正在尝试修改通过 GPO 应用的现有密码策略。由于某种原因,它没有应用密码策略部分中的任何设置(Comp Config > 策略 > Windows 设置 > 安全设置 > 帐户策略 > 密码策略)。

我们仅在一个 GPO 中定义了密码设置。它不是在 AD 安装时创建的默认域策略,我们创建了一个新策略,然后修改了此自定义策略。默认域策略未链接,而是此自定义域策略链接。除其他设置外,自定义域策略还设置了域的密码策略。我们最近修改了自定义策略,将 MinPassowrdLength (MPL) 设置为 16 个字符,将 MaxPasswordAge (MPA) 设置为 180 天。密码策略下的这些设置未应用。如果我更改任何帐户锁定策略设置,它们都会正常更改,只是密码策略设置没有更改。我尝试更改设置以查看它们是否正在应用,然后检查默认密码策略(通过 PowerShell Get-ADDefaultDomainPasswordPolicy)。我尝试了以下操作(并尝试在所附图片中捕获结果):

  • 确保此自定义策略在树中的域级别上具有最高优先级(它是唯一列出的策略)。
  • 添加新策略并使其成为域级别的最高优先级。我使用了不同的设置,这样当我运行 PS cmdlt 时就会发现我正在查看不同的设置。这导致帐户锁定设置发生变化,但密码策略设置没有变化。
  • 将设置密码策略的 GPO 设为“启用”(右键单击选择启用 - 将其锁定),这会强制它位于所有下线 OU 的优先级列表的顶部,但是会产生一些非常意想不到的后果,因此我们将其设置为未启用。
  • 针对 PDC 运行组策略结果(在组策略管理中),结果表明新设置应应用于 DC。
  • 链接默认域策略并将其优先级设置为高于自定义域策略,再次应用锁定策略,但不应用密码策略设置。

我一直在阅读有关必须确保密码策略作为优先级 GPO 应用于域控制器的信息,如果我选择具有我们的 PDC/DC 的 OU,它将在直接应用于 OU 的 GPO 之后被列为第一个。在此 OU 上应用的两个 GPO 均未设置密码策略。

我们正在运行 Windows Server 2016 域控制器,并在 Windows Server 2012 R2 域和功能级别上运行 Active Directory。

我看不出我哪里做错了,似乎不会改变的设置是我们之前在自定义域策略中设置的,但我显然在某个地方缺少了一些东西来让它正常工作。任何帮助都将不胜感激。

结果与原帖一致 评论中要求的结果

答案1

所以我打电话给 MS 支持部门,他们让我使用 Set-ADDefaultDomainPasswordPolicy cmdlet。我之前不想使用这个,因为我不知道在 -Identity 参数中插入什么。结果我应该使用我们的域对象(我们的 xyz.com),这表明它设置正确。我们注意到一点,年龄参数不采用输入天数的整数(DD.HH:MM:SS - 是的,DD 和 HH 之间是 . 而不是 :)。

相关内容