AD : 2008 SP2
client: xp sp3
RSOP.msc :
"電腦設定 -> windows 設定 -> 安全性設定 -> 帳戶原則 -> 密碼原則 -> 密碼必須符合複雜性需求=停用"。
gpresult /v
"電腦原則結果組資料->安全性選項->PasswordComplexity=未啟用"
但是不論輸入多複雜的密碼,使用者仍然不能變更密碼,阻擋理由都是"所提供的密碼未達到最低複雜度的要求..........",只有勾選 "使用者必須在下次登入時變更密碼",變更密碼才有效,請問這樣要怎麼排除呢?!
easonlkc提到:
密碼必須符合複雜性需求
您在變更這項設定後有執行 "GPUPDATE /FORCE" 嗎?
請先確定一下!
除了樓上提到的 gpupdate /force 之外, 其實密碼原則的 GPO 有一些限制必須要注意:
如果你設定了多組密碼原則, 他們之間會互相干擾/覆蓋/取代, 直到互相競爭完畢之後, 最後留下的一組密碼原則, 才會被 Client 拿去套用. 因此, 請不要把密碼原則放在 OU 底下(除了直屬DC 使用的 Default Domain Controller Policy 以外), 因為它們可能會被系統預設, 放在 Domain root 的 Default Domain Policy 給覆蓋掉.
最適合放密碼原則的地方, 是在 Domain root, 也就是 Default Domain Policy 所在的位置. 雖然你可以直接修改 Default Domain Policy, 不過大部分管理者都不希望這麼做, 而會建立自訂的 Policy. 此時請注意: 務必要確定, 你自己建立的 Policy, 其優先權高於 Default Domain Policy, 否則可能會被他覆寫蓋掉.
如果你將密碼原則設定在自建的 Policy 的話, 請確認一下, 將 Default Domain Policy 裡面的密碼原則給清空(未定義). 這樣可以確保你自定的 Policy 不會被覆蓋掉.
gpupdate /force 有時不能只執行一次, 只要它顯示說: 需要登出或重開機...之類的訊息, 請務必在重新登入之後, 再執行一次指令, 直到他不會出現這個訊息為止, 才算是更新完畢.
raytracy提到:
請不要把密碼原則放在 OU 底下, 因為它們可能會被系統預設, 放在 Domain root 的 Default Domain Policy 給覆蓋掉.
Ray老師:我記得policy的套用上,ou的順序是排在最後,所以,Default Domain Policy應該是不會被 ou 上的policy給蓋掉吧?!
有錯請指正~
fran633提到:
所以,Default Domain Policy應該是不會被 ou 上的policy給蓋掉吧?!
這句, 不是跟我說的那句, 一樣意思嗎?....我們的意思應該都是:
Default Domain Policy 可能會比 OU 有更高的優先權(所以不會被 OU 蓋掉).....
是的,指令有執行完成,並且有重新開機過。
我在補充內容增加這點說明以及其他疑問,謝謝回答。
fran633提到:
Default Domain Policy應該是不會被 ou 上的policy給蓋掉吧
sorry~我打錯了,我記得應該是:
Default Domain Policy應該是「會」被 ou 上的 policy 給蓋掉吧,因為 ou 是最後被套用的!
fran633提到:
Default Domain Policy應該是「會」被 ou 上的 policy 給蓋掉吧,因為 ou 是最後被套用的!
您說的這句沒有錯 (嘻嘻嘻嘻.....您也發現前面說錯了...)
在大部分的狀況下, OU 的優先權應該會蓋過 Default Policy, 但是...偏偏密碼原則是例外.
微軟說: 一個 Domain 只能有一個 Password Policy. 節錄一段 Microosft TechNet:http://technet.microsoft.com/en-us/library/cc875814.aspx 如下
....Although Active Directory is a hierarchical directory service that supports multiple levels of organizational units (OUs) and multiple GPOs, password policy settings for the domain must be defined in the root container for the domain.
關鍵字是: ....password policy...must be defined in the root container...
以上是微軟認證考試時的標準答案....
但是, 如果你深入去測試, 會發現好像跟上面講得不太一樣...放在 OU 好像也可以啊? 不是嗎?
事情怎麼會變得這麼奇怪?......難道微軟教科書是騙人的?
請去找一本叫 Hardening Windows Systems 的書(Roberta Bragg 寫的), 裡面會詳細的解釋這個關係. 關鍵在於: Domain root 的 Policy 會套用到真正的 Domain Account; 但是 OU 裡面的 Policy, 卻是被套用到 Domain Account 暫存在 Local Computer 的 Cache 裡, 兩者呈現的結果會不太一樣. 這裡有稍微詳細一點的解釋:
http://www.gpanswers.com/community/19-group-policy-security-includes-nap-wired-wireless-templates-patching/286-setting-account-policies-ou.html#post825
總之, 對大部分的 GPO 而言, OU 優先權高過 root 是對的; 但密碼原則是很特殊的例外, 最好放到 Domain root, 才不會出現有時可以, 有時卻不行的混亂狀況.
哈~終於搞清楚了!
MS 的教科書騙人,我從 NT4 時就發現了,只不過,那應該是「未修正的BUGS」罷了,因為那些教科書從正式版上市前就有了,就算 RTM 之後到 SERVICE PACK *也不見得會被修正(有些會啦),所以,有些功能真的是要廣泛的涉獵原文書才會知道,中文的書絕大多數都是「使用手冊」,實在沒什麼用。
最後,感謝 RAY 老師,沒事要早點兒睡...
我的網域有試過,這項原則要設在 default domain controller 才會生效
default domain policy 確定不行
ou 則沒有試過 ;)
哈哈~我想我大概知道你的問題出在哪...因為我今天才遇到
因為你直接執行RSOP.msc
所以我猜你應該也沒選到 default domain Policy <= USER 應該是要套到這個
而是選到default domain controller <= 你應該是一直都改到這部分
建議你用MMC 去新增~選擇 default domain Policy 這樣應該就不會有問題了.
「密碼必須符合複雜性需求」
1.「定義這個原則」未勾選:密碼的複雜化「可」與「不可」皆可
2.「定義這個原則」勾選,並設定「已啟用」:密碼必須符合複雜化
3.「定義這個原則」勾選,並設定「已停用」:密碼"不得"使用複雜化
如果設定停用,代表當變更密碼時,我們輸入了複雜性密碼,是會違反GPO的設定值的。