不太懂F大要表達的東西= =???

我在公司有 domain admins 的權限，雖然我可以設定為「密碼永久有效」<===所以是沒設
故
若超過三個月沒變更密碼，有些管理功能就會出問題..

如果是這樣子
我又有疑問了
系統中會用到管理者帳密的地方
不就要重新確認過

這樣子不是很麻煩
還不如將密碼永久有效選取來

已前我的環境也是AD win2003
從沒換過密碼 用了五年也沒事
所以不懂有些管理功能出問題的說法
而且我的gpo限制使用者每45天要更換一次密碼
還是沒事情
只是大多建議還是要定期修改密碼
別因為方便就不想改

ghost234提到：
我在公司有 domain admins 的權限，雖然我可以設定為「密碼永久有效」

去年有一陣子，我的帳號是被勾選了 "密碼永久有效"，因為我自己沒注意，當過了 GPO 限制的三個月須變更密碼的期限後，有些管理功能就不能用了，我一時沒找到原因，後來是 IT 經理發現的，這是我自己碰到的情況，提供參考一下罷了。

因我用的帳號是自己的帳號，不是 SERVER 本機上的 "Administrator"，所以會被 GPO 的原則影響，而且，2003 的版本在一個 AD 中是不能有一個以上的密碼原則，所以我想這是我被限制的原因吧!

這要看 server 版本吧？
2008 以前應該是不行

這是我另一個頭痛的地方
因為目前已有設定DDP原則了
且該原則是設在根路徑
(例如說USER群組)

所以
只要是使用者，就會有該原則(預設帳戶都是USER群組)

但我目前只是在做測試
所以我是將一個測試帳號移到測試用的組織單位

變成
該測試帳號一定會有DDP原則
外加我新增的原則
但這二個原則無法排序(為什麼，因為DDP原則是在USER群組下
而新增的原則是在測試的組織單位下)

變成說
永遠都是DDP先

應該要說gpo建立了之後
套用的先後順序
以及是否不允許修改以套用的規則來判斷

oowo提到：
只要針對OU設定即可

在舊的版本中，密碼原則只有一個，要針對不同 OU 設定不同的密碼原則只有最新版本(2008以後)才行!