組策略配置問題
今天組裏有個哥們遇見個問題,他需要給一些新建的管理賬戶設置一個專門的密碼策略。他模仿defaut domain policy裏面的設置,創建了個新的,然後應用到對應的OU上。聽起來好像很合理的操作,但是居然不工作。
貌似正確的配置,其實不工作
這個問題其實是涉及到了在AD裏面如何細粒度地給一部分人設定特殊的密碼策略。在GPO裏面,一般設置密碼策略的時候,大家都習慣部署在根部節點上,或者更省事的話就是直接在default domain policy裏面修改了。細粒度的設置過程不一樣,他不是在group policy managment這個工具裏面修改,而是在ADSIEdit或者Active Directory Administrative Center (ADAC)裏面修改。
正確打開姿勢:
以ADSIEdit爲例:
打開ADSIEdit->CN=SYSTEM->CN=Password Settings Container, 選擇新建一個Object
取個名字
這個對象的前綴,以便和其他的區分(比如某用戶應用了N多個的話)
密碼歷史記錄個數
是否啓用密碼複雜度
密碼最小長度
密碼最短天數
密碼最長天數
失敗幾次鎖住賬號
上鎖觀察期
上鎖長度
結束
創建好的對象
修改msDS-PSOAppliesTo屬性
分配對應的安全組即可
測試
搞定以後隨便登錄一個服務器看看,提示修改密碼,成功
最後,在ADAC裏面打開,可以看見同樣的配置內容