各位大大好:
目前公司的電腦想要透過GPO來強制使用者每3個月更換一次密碼,
並限制user錯誤登入的次數(錯誤3次就鎖定user帳號)
目前GPO設定如下,並套用在GCB_Win7的OU中:
Client端的電腦也都置於GCB_Win7的子OU(Win7)中
如下圖:
可是不知道哪裡有問題,套用GPO之後,從未跳出要求使用者進行密碼更改(至少快一年了)
當使用者輸入錯誤密碼超過3次也不會鎖帳號,我自己測試輸入錯誤快10次也沒鎖。
但是到Client執行rsop.msc後看起來又像是有套用GPO密碼原則設定的樣子
如下圖所示:
想請問各位大大是否知道這是怎麼一回事呢??
PS:
目前有嘗試過重新建立GPO以及把GPO套用層級拉高到PCs這個OU
但是結果還是一樣。
已邀請的邦友 {{ invite_list.length }}/5
你的原則是 在 GCB_WIN7 套用,並非在 GCB_WIN7\WIN7 上面套用
這是有差別的
謝謝發大的回答!!
可是我GCB_WIN7\WIN7的原則有繼承自GCB_WIN7,這樣在GCB_WIN7\WIN7這OU內的電腦不會套用到GCB_WIN7內的原則嗎?
您好~你必須要修改default domain policy 才有用,如果
r大您好,請問default domain policy要修改哪邊呢?
目前的default domain policy如下:
謝謝您。
你這個看起來好像不是Default Domain Policy
同一個資料夾放那麼多個群組原則,請問你要套用那一個,那一個才有最優先權,Default Domain Policy當然是要放在網域底下才有最高優先權,你把它放在跟別的群組原則同一個資料夾,請問那個較優先?
r大:
您說的Default Domain Policy這個嗎?
可是我看Default Domain Policy的設定也是每90天更改密碼,錯誤3次就鎖帳號,另外Default Domain Policy是沒有套用在任何OU上的,還是他一定要套用嗎??
m大:
GCB_WIN7\WIN7這個OU的優先順序如下圖所示:
目前是沒有套用Default Domain Policy的。
謝謝兩位的回答~
把Default Domain Policy放到SRWC.cwb.gov.tw下面,這樣就有最高優先權,也要設定強制,下面的Policy也會繼承他的設定。
基本上不建議改Default Domain Policy
樓上的回應提的,只有一個地方是對的,就是你必須去看 GCB_WIN7\WIN7 的 GPO 物件的優先性
另外,你要設定的那些項目,是不是被優先性高的 GPO 覆蓋了
如果是,那就以優先性高的為優先,有人說繼承,基本預設 Default Domain Policy 的優先性是最高的
所以你的子物件如果有設定 GPO,你還要去手動調整
另外,設定完,還要做 GPO 同步作業,你的用戶端才會收的到 GPO 的異動,設定才會有效果
您好
在目前來說一個網域的密碼原則只能修改default domain policy 才會生效
如果你有多個OU 要設定不同的密碼原則,必須要是ws2012 以後版本的網域環境才可以利用PSO 來設定多組不同的密碼原則。
PS: 2008 R2 環境也可以只是步驟繁多。
以上提供您參考
謝謝各位大大的幫忙,我把Default Domain Policy 連結回網域後,密碼原則就有正常運作了。
不過有些地方想確認清楚,還請各位大大幫忙解惑:
Default Domain Policy 本身優先性是最高嗎?要是我在各個OU中把其他的GPO優先性設定比Default Domain Policy 高,那其他的GPO的設定是否就會蓋過Default Domain Policy 的設定呢(是否優先順序數字越低優先性就越高呢?)?
說 Default Domain Policy 優先性是最高的不太對,因為它是預設的GPO物件,而且是一定要有的
其他的OU要設定新的GPO物件可以,預設會排在 Default Domain Policy 底下
GPO物件可以調整順序,順序是遇到衝突的項目,優先性高者優先,這各原則從 2000咖開始就是這樣,沒有變過
GPO設定好之後要做GC同步,用戶端重新登入後就會自動配置新的GPO了
該gpo應該有應該有繼承到下層吧
還是有選拒絕繼承
是否有作模型模擬了
iThome鐵人賽
看影片追技術