老生常谈一下在AD中细粒度设置密码策略

系统运维 组策略配置问题

今天组里有个哥们遇见个问题,他需要给一些新建的管理账户设置一个专门的密码策略。他模仿defaut domain policy里面的设置,创建了个新的,然后应用到对应的OU上。听起来好像很合理的操作,但是居然不工作。

十多年的瑞昌网站建设经验,针对设计、前端、开发、售后、文案、推广等六对一服务,响应快,48小时及时工作处理。全网整合营销推广的优势是能够根据用户设备显示端的尺寸不同,自动调整瑞昌建站的显示方式,使网站能够适用不同显示终端,在浏览器中调整网站的宽度,无论在任何一种浏览器上浏览网站,都能展现优雅布局与设计,从而大程度地提升浏览体验。创新互联从事“瑞昌网站设计”,“瑞昌网站推广”以来,每个客户项目都认真落实执行。

貌似正确的配置,其实不工作

这个问题其实是涉及到了在AD里面如何细粒度地给一部分人设定特殊的密码策略。在GPO里面,一般设置密码策略的时候,大家都习惯部署在根部节点上,或者更省事的话就是直接在default domain policy里面修改了。细粒度的设置过程不一样,他不是在group policy managment这个工具里面修改,而是在ADSIEdit或者Active Directory Administrative Center (ADAC)里面修改。

正确打开姿势:

以ADSIEdit为例:

打开ADSIEdit->CN=SYSTEM->CN=Password Settings Container, 选择新建一个Object

取个名字

这个对象的前缀,以便和其他的区分(比如某用户应用了N多个的话)

密码历史记录个数

是否启用密码复杂度

密码最小长度

密码最短天数

密码最长天数

失败几次锁住账号

上锁观察期

上锁长度

结束

创建好的对象

修改msDS-PSOAppliesTo属性

分配对应的安全组即可

测试

搞定以后随便登录一个服务器看看,提示修改密码,成功

最后,在ADAC里面打开,可以看见同样的配置内容


分享名称:老生常谈一下在AD中细粒度设置密码策略
链接分享:http://scyanting.com/article/cpigei.html