iT邦幫忙

0

更細緻的密碼原則疑問

pso

1.在PSO 設定了一組密碼原則為最長90天、最短1天、最小長度12碼、密碼歷程3天,Default Domain Policy 也設定一樣,

2.另外在PSO又設定了一組密碼原則為最長180天、最短1天、最小長度12碼、密碼歷程3天,只套用一個A群組使用者

在GPO也另外設定相同設定最長180天、最短1天、最小長度12碼、密碼歷程3天

以往都透過net user 去查詢使用者密碼到期日,發現額外套用不同PSO的A群組使用者無法這樣查詢

都查詢到相同90天的日期,不知道有其他查詢方式嗎???

透過powershell Get-ADUserResultantPasswordPolicy,A群組使用者是有套用到最長的180天PSO

echochio iT邦高手 1 級 ‧ 2020-01-18 11:25:15 檢舉
加一個二次驗證就難破解了
搞個 GPO 真的是醉了

1 個回答

1
zero
iT邦新手 1 級 ‧ 2020-01-16 18:19:05

我查了一下IT幫幫忙跟密碼原則相關的問題,看起來是沒有人提過比較詳細的解答,

我剛好又想休息所以跑上來看文章了,我不知道文章可以保留多久,就留個完整的吧,

有的回答還只是剛好"會動",知道的人就知道什麼意思。

關鍵字是"Domain Password Policy"去GOOGLE找,微軟論壇也有提過,


首先!!,在Windows Server Domain上面,

第1 一個網域只能套用一個密碼原則,跟套用的GPO是不是Default Domain Policy無關

第2 這個GPO的密碼原則只能套用在Domain的"根"上面

第3 套用在任何容器或者自建的組織單位OU都不會有效果

第4 密碼原則套用的對象是"電腦物件",不是"使用者帳戶物件"


再來是Server 2012 開始引進的Password Settings Policy — PSO

這個規則是套用在User或者Group上面,當被套用的時候會比GPO更為優先採用

你可以在 Active Directory 管理中心內找到設定的頁面

也可以利用Powershell在DC上建立,當有多個PSO被套用時,請自行設定優先順序

Active Directory 使用者和電腦,其實也看的到,只是無法新增規則進去


GPO在更改密碼有效期限時,只有新創帳戶跟修改密碼時,會套用被你更新過的規則,

所以如果有效期限90天,你修改變成了30天,當網域套用新規則後,

所有帳戶都還是維持舊的90天規則,只有當舊用戶更新過密碼,或者管理者新建帳戶了

新的30天有效日期規則才會被套用,

所以,如果你要測試套用規則的變化,請直接拿"帳戶鎖定原則"來使用,

密碼錯誤幾次之後,會造成帳戶直接鎖定這個規則是最直接的,不會有上述的問題


希望可以幫助到以後,有這方面問題困擾的Windows Server admin

我要發表回答

立即登入回答