Windows Server 2003。
我需要我的主机更改其域内某台机器的密码策略(所需的密码长度)。我只需要将更改应用于机器帐户。
他们声称这不可能,否则会影响整个域。我知道这是可能的,因为我在其他主机上也做过。
执行此操作的步骤是什么?
答案1
这是有可能的,但从他们的角度来看可能不切实际。或者他们可能只是一无所知。
我假设他们的域范围策略已应用于默认域策略 GPO 或链接到域的另一个 GPO。问题在于,至少从他们的角度来看,这将覆盖您或他们在您的计算机的本地策略上定义的任何本地策略。
组策略对象按以下顺序处理:
- 当地政策
- 链接到计算机所在的 AD 站点的域 GPO
- 链接到该计算机所属域的域 GPO
- 与计算机所在 OU 关联的域 GPO
每个连续的策略设置都会覆盖以前应用的冲突设置,即密码长度等的本地策略将始终不相关,因为域策略是在本地策略之后应用的,因此会覆盖它。
唯一能实现你想要的效果的方法是他们愿意把你的机器放入自己的 OU,然后创建一个包含你想要的密码策略的新 GPO。这个 GPO 将链接到包含你机器的 OU。
看这TechNet 文章了解更多详细信息。
答案2
A用户密码策略不能在不影响整个域的情况下设置,但某些电脑密码策略设置也可在“计算机配置”|“Windows 设置”|“安全设置”|“本地策略”|“安全选项”下找到。我从来没有真正需要更改这些,所以我无法确认或否认它们可以在 OU(甚至本地)级别更改,但我猜您的主机可能会混淆这两者。
答案3
如果用户是域帐户,则将应用在域级别 GPO 中设置的策略,没有例外。(这在 Windows 2008 中发生了变化,并出现了新的密码设置对象)
如果您想更改某些服务器上本地帐户的密码策略,那么这是可能的。
在我们的案例中,我们要求在服务器上创建的所有本地帐户都应有 15 个字符的密码(以阻止 AD 存储 LM 哈希),而所有域帐户都应有 10 个字符的密码。
您可以使用创建组策略并进行适当的密码策略更改并将其链接到欧亚所有机器帐户所在的位置。