iT邦幫忙

0

套用GPO的密碼原則問題

steven0163 1 年前2913 瀏覽

小弟在套用GPO上有碰到一點問題想要請教,
AD主機:Windows Server 2008 R2 Datacenter SP1
Client:Windwos 7 Professional
在AD主機上的GPO(Account)有設定密碼原則
最小長度:12
密碼複雜性:停用
(PS. Default Domain Policy上面沒有設定密碼原則)
把Client的電腦加進網域後,發現密碼只要7碼有複雜性就可以變更了。
查詢後發現AD主機上的本機原則內密碼原則
最小長度:7
密碼複雜性:啟用

將AD主機上的本機密碼原則改為最小長度:8 密碼複雜性:停用
再去Client上改密碼,這次8個0就可以完成密碼變更

上網爬文後發現,在GPO(Account)上面可以設定關閉本機群組原則物件處理,
設定後有把AD主機gpupdate /force 重開機後
再到Client去gpupdate /force 重開機後再變更密碼
這次8個1就可以完成密碼變更

後來再有個想法,我在Default Domain Policy上面設定關閉本機群組原則物件處理,
結果跟上面那個一樣。

不知道各位前輩們是否可以協助小弟,指出小弟的盲點在哪呢?

2 個回答

0
WilliamHuang
iT邦大師 1 級 ‧ 1 年前

怪了
不是啟用或取消複雜性就好了
啟用~就要照複雜性走
取消~就沒有規則愛設什麼就設什麼
這麼大一篇我看完
完全不知道在問什麼

steven0163 iT邦新手 4 級 ‧ 1 年前 檢舉

你好,不好意思打那麼長卻沒有明顯敘述問題,套用GPO後是希望使用者的密碼複雜性要符合複雜性且最少要12個字元(這是最終目標)

在設定Account的密碼原則已經有定義最短長度為12,但實際上我登入Client的電腦去改密碼,只要Key8碼就變更密碼成功,文章內容是我測試的方式,排版不佳造成閱讀影響,非常抱歉

msnman iT邦研究生 4 級 ‧ 1 年前 檢舉

在Default Domain Policy上按右鍵,勾選強制。

0
msnman
iT邦研究生 4 級 ‧ 1 年前

在Default Domain Policy上按右鍵,勾選強制。

看更多先前的回應...收起先前的回應...
steven0163 iT邦新手 4 級 ‧ 1 年前 檢舉

感謝您撥空回答,
已經有嘗試勾選強制,且該條Policy也Show上鎖圖示,
雖然用rsop.msc產生出來的結果有指出套用到Account的密碼原則,
但實際上去更改密碼,仍不是按照Account所設的密碼原則

msnman iT邦研究生 4 級 ‧ 1 年前 檢舉

優先順序性 (Precedence):群組原則的套用順序為:本機→站台→網域→上層組織單位→下層組織單位。

steven0163 iT邦新手 4 級 ‧ 1 年前 檢舉

感謝您,我會把這個套用順序記下來,在我們的環境上去驗證。
這個本機是指AD主機本機會套用到網域內的Client_PC嗎?

msnman iT邦研究生 4 級 ‧ 1 年前 檢舉

本機安全性原則只適用本機,不適用網域內任何電腦,clientPc通常會被網域群組原則覆蓋,無法使用。

msnman iT邦研究生 4 級 ‧ 1 年前 檢舉

clientpc加入網域後無法使用本機群組原則。

steven0163 iT邦新手 4 級 ‧ 1 年前 檢舉

恩,但我這邊詭異的是,我在網域上所設定的Policy已啟用且強制,卻未被網域的Client_PC所套用,
網域內的Client_PC卻套用到AD主機的本機原則

msnman iT邦研究生 4 級 ‧ 1 年前 檢舉

請在AD的電腦OU--->CLIENT電腦--->右鍵所有工作--->群組原則計畫--->查看結果。就可以知道你的CLIENT電腦是屬於那個群組原則。

msnman iT邦研究生 4 級 ‧ 1 年前 檢舉

在AD主機上的GPO(Account)有設定密碼原則 最小長度:12 密碼複雜性<<<---指的是不是使用者所在的OU,那個OU有CLIENT電腦嗎?你的密碼長度應該是在電腦設定做設定的吧!那個電腦設定是指CLIENT電腦,不是指CLIENT使用者哦!!!

我要發表回答

立即登入回答