iT邦幫忙

0

變更密碼時,管理者也會受到要求嗎???

GPO中安全性可設定要求變更密碼

我的疑問在於

請問版友們的公司,如果有設定該項的話
網域管理者和成員是否也會受到要求變更??

我想要此設目只針對USER

10
jazozazo
iT邦高手 1 級 ‧ 2012-06-14 12:26:57
最佳解答

通常我都會在管理者的屬性設定
密碼永不過期
但是密碼複雜度還是要有
否則你應該不希望管理者被123456這種密碼給破解吧

看更多先前的回應...收起先前的回應...
ghost234 iT邦新手 4 級 ‧ 2012-06-14 12:44:57 檢舉

所以意思是說

雖然有原則在
但網域管理者的帳戶有設定成『密碼永不過期』的話

是不會受到原則引嚮是嗎?

jazozazo iT邦高手 1 級 ‧ 2012-06-14 13:14:33 檢舉

是的

花輪 iT邦大師 1 級 ‧ 2012-06-14 16:11:20 檢舉

我在公司有 domain admins 的權限,雖然我可以設定為「密碼永久有效」,但因 GPO 是三個月要換密碼,若超過三個月沒變更密碼,有些管理功能就會出問題..

註:AD : 2003 x86

ghost234 iT邦新手 4 級 ‧ 2012-06-14 16:27:40 檢舉

不太懂F大要表達的東西= =???

我在公司有 domain admins 的權限,雖然我可以設定為「密碼永久有效」<===所以是沒設

若超過三個月沒變更密碼,有些管理功能就會出問題..

如果是這樣子
我又有疑問了
系統中會用到管理者帳密的地方
不就要重新確認過

這樣子不是很麻煩
還不如將密碼永久有效選取來

jazozazo iT邦高手 1 級 ‧ 2012-06-14 17:21:18 檢舉

已前我的環境也是AD win2003
從沒換過密碼 用了五年也沒事
所以不懂有些管理功能出問題的說法
而且我的gpo限制使用者每45天要更換一次密碼
還是沒事情
只是大多建議還是要定期修改密碼
別因為方便就不想改

花輪 iT邦大師 1 級 ‧ 2012-06-16 20:12:41 檢舉

ghost234提到:
我在公司有 domain admins 的權限,雖然我可以設定為「密碼永久有效」

去年有一陣子,我的帳號是被勾選了 "密碼永久有效",因為我自己沒注意,當過了 GPO 限制的三個月須變更密碼的期限後,有些管理功能就不能用了,我一時沒找到原因,後來是 IT 經理發現的,這是我自己碰到的情況,提供參考一下罷了。

因我用的帳號是自己的帳號,不是 SERVER 本機上的 "Administrator",所以會被 GPO 的原則影響,而且,2003 的版本在一個 AD 中是不能有一個以上的密碼原則,所以我想這是我被限制的原因吧!

6
ihon822
iT邦研究生 2 級 ‧ 2012-06-14 15:55:27

GPO可以跟據不同的OU設定
將管理者帳號和user帳號設在不同OU即可

花輪 iT邦大師 1 級 ‧ 2012-06-14 16:08:40 檢舉

這要看 server 版本吧?
2008 以前應該是不行

ghost234 iT邦新手 4 級 ‧ 2012-06-14 16:22:06 檢舉

這是我另一個頭痛的地方
因為目前已有設定DDP原則了
且該原則是設在根路徑
(例如說USER群組)

所以
只要是使用者,就會有該原則(預設帳戶都是USER群組)

但我目前只是在做測試
所以我是將一個測試帳號移到測試用的組織單位

變成
該測試帳號一定會有DDP原則
外加我新增的原則
但這二個原則無法排序(為什麼,因為DDP原則是在USER群組下
而新增的原則是在測試的組織單位下)

變成說
永遠都是DDP先

jazozazo iT邦高手 1 級 ‧ 2012-06-14 17:22:40 檢舉

應該要說gpo建立了之後
套用的先後順序
以及是否不允許修改以套用的規則來判斷

2
oowo
iT邦高手 1 級 ‧ 2012-06-15 15:05:56

只要針對OU設定即可
我的話我會把OU分成幾個(管理者集中一個)
在須要略過一部分人的狀況,就不設該OU即可

花輪 iT邦大師 1 級 ‧ 2012-06-16 20:15:28 檢舉

oowo提到:
只要針對OU設定即可

在舊的版本中,密碼原則只有一個,要針對不同 OU 設定不同的密碼原則只有最新版本(2008以後)才行!

我要發表回答

立即登入回答