我一直认为默认域策略会覆盖其他策略,因为它是最重要的。我还知道拥有 2 个密码 GPO 是不正确的。拥有不同策略的方法是使用细粒度密码策略。
今天在我的公司,我注意到在我们的域中,我在默认域策略中有一个密码策略,指定了长度和最大密码使用期限为 90 天)。对于仅包含 FTP 服务器的另一个 OU,我有另一个具有不同密码复杂度和最大密码使用期限的策略。
我使用 gpresult 检查了哪个策略获胜,并且 FTP 服务器显示默认域策略没有获胜。
我无法测试。哪些政策真正适用于这些 FTP 服务器?我一直在阅读,这肯定是整个域的一项政策。也许这只是一种好的做法,但这样的政策通常有效?我真的很困惑。
顺便说一句。默认域策略也具有不同的用户权限分配,并且它也不会强制到其他服务器,在这些服务器上,可以使用其他具有用户权限分配的策略。
谢谢,Sus
答案1
密码策略设置适用于计算机的本地安全数据库(安全帐户管理器)。在域控制器上,该数据库是 Active Directory 数据库。在成员计算机上,该数据库是成员计算机的本地安全数据库。因此,默认域策略 GPO 中定义的密码策略设置将默认适用于 Active Directory 用户帐户和成员计算机上的本地用户帐户。
当您将具有不同密码策略设置的 GPO 应用于域中的计算机帐户(就像将密码 GPO 链接到 ftp 服务器 OU 一样)时,您会将这些密码策略设置应用于 ftp 服务器的本地安全数据库,这意味着这些密码设置将应用于这些服务器的本地安全数据库中的用户,并将影响 ftp 服务器上的本地用户帐户。
您会看到您的 GPO 是获胜的 GPO,因为它实际上已应用于这些服务器,但同样,它应用于这些服务器的本地安全数据库,并且仅影响这些服务器上的本地用户帐户。它不会影响域用户帐户。
当您读到“域中只能有一个密码策略”时,您应该读到的是“域中只能有一个针对域用户帐户的密码策略”。您可以将不同的密码策略设置应用于成员计算机,但这些设置只会影响这些计算机上的本地用户帐户。
请注意,此答案不涉及 FGPP。在您的场景中,此答案解决了您的问题和您的顾虑。
答案2
FGPP 优先于默认域策略。
答案3
谢谢。这回答了我的问题。我们没有 FGPP。这个问题是关于这两个策略中的特定密码设置。