小弟在套用GPO上有碰到一點問題想要請教,
AD主機:Windows Server 2008 R2 Datacenter SP1
Client:Windwos 7 Professional
在AD主機上的GPO(Account)有設定密碼原則
最小長度:12
密碼複雜性:停用
(PS. Default Domain Policy上面沒有設定密碼原則)
把Client的電腦加進網域後,發現密碼只要7碼有複雜性就可以變更了。
查詢後發現AD主機上的本機原則內密碼原則
最小長度:7
密碼複雜性:啟用
將AD主機上的本機密碼原則改為最小長度:8 密碼複雜性:停用
再去Client上改密碼,這次8個0就可以完成密碼變更
上網爬文後發現,在GPO(Account)上面可以設定關閉本機群組原則物件處理,
設定後有把AD主機gpupdate /force 重開機後
再到Client去gpupdate /force 重開機後再變更密碼
這次8個1就可以完成密碼變更
後來再有個想法,我在Default Domain Policy上面設定關閉本機群組原則物件處理,
結果跟上面那個一樣。
不知道各位前輩們是否可以協助小弟,指出小弟的盲點在哪呢?
已邀請的邦友 {{ invite_list.length }}/5
在Default Domain Policy上按右鍵,勾選強制。
感謝您撥空回答,
已經有嘗試勾選強制,且該條Policy也Show上鎖圖示,
雖然用rsop.msc產生出來的結果有指出套用到Account的密碼原則,
但實際上去更改密碼,仍不是按照Account所設的密碼原則
優先順序性 (Precedence):群組原則的套用順序為:本機→站台→網域→上層組織單位→下層組織單位。
感謝您,我會把這個套用順序記下來,在我們的環境上去驗證。
這個本機是指AD主機本機會套用到網域內的Client_PC嗎?
本機安全性原則只適用本機,不適用網域內任何電腦,clientPc通常會被網域群組原則覆蓋,無法使用。
clientpc加入網域後無法使用本機群組原則。
iThome鐵人賽
看影片追技術