iT邦幫忙

0

AD 密碼原則套用問題

  • 分享至 

  • xImage

各位大大好:
目前公司的電腦想要透過GPO來強制使用者每3個月更換一次密碼,
並限制user錯誤登入的次數(錯誤3次就鎖定user帳號)
目前GPO設定如下,並套用在GCB_Win7的OU中:
http://ithelp.ithome.com.tw/upload/images/20160627/20085706nrCcNqRPZ1.jpg

Client端的電腦也都置於GCB_Win7的子OU(Win7)中
如下圖:
http://ithelp.ithome.com.tw/upload/images/20160627/20085706u5d3o25SHd.jpg

可是不知道哪裡有問題,套用GPO之後,從未跳出要求使用者進行密碼更改(至少快一年了)
當使用者輸入錯誤密碼超過3次也不會鎖帳號,我自己測試輸入錯誤快10次也沒鎖。

但是到Client執行rsop.msc後看起來又像是有套用GPO密碼原則設定的樣子
如下圖所示:
http://ithelp.ithome.com.tw/upload/images/20160627/20085706nkR82kTphV.jpg

想請問各位大大是否知道這是怎麼一回事呢??
PS:
目前有嘗試過重新建立GPO以及把GPO套用層級拉高到PCs這個OU
但是結果還是一樣。

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
窮嘶發發發
iT邦高手 1 級 ‧ 2016-06-27 17:17:41
最佳解答

你的原則是 在 GCB_WIN7 套用,並非在 GCB_WIN7\WIN7 上面套用
這是有差別的

看更多先前的回應...收起先前的回應...

謝謝發大的回答!!
可是我GCB_WIN7\WIN7的原則有繼承自GCB_WIN7,這樣在GCB_WIN7\WIN7這OU內的電腦不會套用到GCB_WIN7內的原則嗎?

roylee iT邦高手 1 級 ‧ 2016-06-28 08:32:22 檢舉

您好~你必須要修改default domain policy 才有用,如果

r大您好,請問default domain policy要修改哪邊呢?
目前的default domain policy如下:http://ithelp.ithome.com.tw/upload/images/20160628/20085706EB01offLLz.jpg
謝謝您。

roylee iT邦高手 1 級 ‧ 2016-06-28 12:25:59 檢舉

你這個看起來好像不是Default Domain Policy

msnman iT邦研究生 1 級 ‧ 2016-06-28 16:28:07 檢舉

同一個資料夾放那麼多個群組原則,請問你要套用那一個,那一個才有最優先權,Default Domain Policy當然是要放在網域底下才有最高優先權,你把它放在跟別的群組原則同一個資料夾,請問那個較優先?

r大:
您說的Default Domain Policy這個嗎?
http://ithelp.ithome.com.tw/upload/images/20160628/20085706tnq1GegTEe.jpg
可是我看Default Domain Policy的設定也是每90天更改密碼,錯誤3次就鎖帳號,另外Default Domain Policy是沒有套用在任何OU上的,還是他一定要套用嗎??
http://ithelp.ithome.com.tw/upload/images/20160628/200857068FiurUNvCo.jpg

m大:
GCB_WIN7\WIN7這個OU的優先順序如下圖所示:
http://ithelp.ithome.com.tw/upload/images/20160628/20085706yrTd7qRpDX.jpg
目前是沒有套用Default Domain Policy的。


謝謝兩位的回答~

msnman iT邦研究生 1 級 ‧ 2016-06-28 19:10:02 檢舉

把Default Domain Policy放到SRWC.cwb.gov.tw下面,這樣就有最高優先權,也要設定強制,下面的Policy也會繼承他的設定。

基本上不建議改Default Domain Policy
樓上的回應提的,只有一個地方是對的,就是你必須去看 GCB_WIN7\WIN7 的 GPO 物件的優先性
另外,你要設定的那些項目,是不是被優先性高的 GPO 覆蓋了
如果是,那就以優先性高的為優先,有人說繼承,基本預設 Default Domain Policy 的優先性是最高的
所以你的子物件如果有設定 GPO,你還要去手動調整
另外,設定完,還要做 GPO 同步作業,你的用戶端才會收的到 GPO 的異動,設定才會有效果

roylee iT邦高手 1 級 ‧ 2016-06-29 12:23:07 檢舉

您好
在目前來說一個網域的密碼原則只能修改default domain policy 才會生效
如果你有多個OU 要設定不同的密碼原則,必須要是ws2012 以後版本的網域環境才可以利用PSO 來設定多組不同的密碼原則。
PS: 2008 R2 環境也可以只是步驟繁多。
以上提供您參考

謝謝各位大大的幫忙,我把Default Domain Policy 連結回網域後,密碼原則就有正常運作了。
不過有些地方想確認清楚,還請各位大大幫忙解惑:
Default Domain Policy 本身優先性是最高嗎?要是我在各個OU中把其他的GPO優先性設定比Default Domain Policy 高,那其他的GPO的設定是否就會蓋過Default Domain Policy 的設定呢(是否優先順序數字越低優先性就越高呢?)?

說 Default Domain Policy 優先性是最高的不太對,因為它是預設的GPO物件,而且是一定要有的
其他的OU要設定新的GPO物件可以,預設會排在 Default Domain Policy 底下
GPO物件可以調整順序,順序是遇到衝突的項目,優先性高者優先,這各原則從 2000咖開始就是這樣,沒有變過
GPO設定好之後要做GC同步,用戶端重新登入後就會自動配置新的GPO了

0
fairy715
iT邦新手 5 級 ‧ 2016-06-28 17:48:22

該gpo應該有應該有繼承到下層吧
還是有選拒絕繼承
是否有作模型模擬了

f大:
目前看起來下層是有繼承到GPO,沒有特別設定拒絕繼承,也沒有做模型模擬耶/images/emoticon/emoticon16.gif

我要發表回答

立即登入回答