系统操作和维护

组策略配置问题

今天群里的一个哥们遇到了一个问题，他需要为一些新创建的管理账号设置一个特殊的密码策略。他模仿默认域策略中的设置，创建一个新的域策略，并将其应用于相应的OU。听起来是个合理的操作，但并不奏效。

看起来是正确的配置，但它不起作用。

这个问题实际上涉及到如何细粒度的为AD中的一部分人设置特殊的密码策略。在GPO中，设置密码策略时，大家都习惯部署在根节点上，或者更方便的话，直接在默认域策略中修改。而细粒度的设置过程则不同。它不是在组策略管理工具中修改，而是在ADSIEdit或Active Directory管理中心(ADAC)中修改。

正确的打开姿势：

以ADSIEdit为例：

打开ADSI edit-cn=system-cn=password settings容器，然后选择创建新对象。

取个名字

此对象的前缀，以区别于其他对象(例如，如果用户应用了N个以上)。

密码历史记录的数量

是否启用密码复杂性？

最小密码长度

最短密码天数

密码的最大天数

多次锁定账户失败。

锁定观察期

锁定长度

结束

创造一个好的对象

修改msDS-psappliesto属性

分配相应的安全组。

试验

做好之后，登录一个服务器看看就行了。系统将提示您更改密码。成功。

最后，在ADAC打开它，您可以看到相同的配置内容。

更多关于云服务器，域名注册，虚拟主机的问题，请访问西部数码代理官网：www.chenqinet.cn。