陈奇网络工作室

AD中细粒度密码策略的老生常谈

系统操作和维护

组策略配置问题

今天群里的一个哥们遇到了一个问题,他需要为一些新创建的管理账号设置一个特殊的密码策略。他模仿默认域策略中的设置,创建一个新的域策略,并将其应用于相应的OU。听起来是个合理的操作,但并不奏效。

看起来是正确的配置,但它不起作用。

这个问题实际上涉及到如何细粒度的为AD中的一部分人设置特殊的密码策略。在GPO中,设置密码策略时,大家都习惯部署在根节点上,或者更方便的话,直接在默认域策略中修改。而细粒度的设置过程则不同。它不是在组策略管理工具中修改,而是在ADSIEdit或Active Directory管理中心(ADAC)中修改。

正确的打开姿势:

以ADSIEdit为例:

打开ADSI edit-cn=system-cn=password settings容器,然后选择创建新对象。

取个名字

此对象的前缀,以区别于其他对象(例如,如果用户应用了N个以上)。

密码历史记录的数量

是否启用密码复杂性?

最小密码长度

最短密码天数

密码的最大天数

多次锁定账户失败。

锁定观察期

锁定长度

结束

创造一个好的对象

修改msDS-psappliesto属性

分配相应的安全组。

试验

做好之后,登录一个服务器看看就行了。系统将提示您更改密码。成功。

最后,在ADAC打开它,您可以看到相同的配置内容。

更多关于云服务器,域名注册,虚拟主机的问题,请访问西部数码代理官网:www.chenqinet.cn。

后台-系统设置-扩展变量-手机广告位-内容页底部广告位3