none
域策略里的密碼相關的策略是否可以套用到用戶身上 RRS feed

  • 问题

  • 域控為server2012,  域策略里分為用戶和電腦, 發現只有電腦那塊下面才有密碼相關的設定, 用戶下面未發現有密碼相關的設定,現在想把密碼策略套用到用戶身上, 如何實現.
    2018年11月19日 1:00

答案

  • 你好,

    你可以使用细粒度密码策略来设置ad域用户的密码策略。您可以使用细粒度密码策略在单个域中指定多个密码策略,并将密码和帐户锁定策略的不同限制应用于域中的不同用户组。

    细粒度密码策略不是在group policy management这个工具来修改,而是使用ADAC或者ADSIedit来配置的。请根据下面的步骤来进行配置.

    以ADAC为例:

    1. 要启用细粒度密码策略(FGPP),您需要打开Active Directory管理中心(ADAC),切换到树视图并导航到系统,密码设置容器

    2. 右键单击“密码设置容器”对象,然后选择“ 新建 ”,“ 密码设置 ”

    3. 在“创建密码策略”UI中,填写所有适当的字段。

    4. 单击“直接适用于”一节中的“添加”按钮,然后选择要作为目标的全局组。

    在我们的案例中,“高安全性用户”组,然后单击“确定”。

    然后单击“确定”,关闭“创建密码策略”对话框。

    这样一个细粒度密码策略(FGPP)就完成了。

    您可以在此处使用与默认域策略中相同的基本选项:

    名称 - 为其提供一个体面的名称,以反映此政策适用的群组或个人
    优先级 - 如果有多个FGPP适用于用户,例如它们位于多个AD组中,则优先级定义应适用于哪个策略
    最小密码长度 - 所有密码都应具有最小字符数
    密码历史记录 - AD为每个用户记住的密码数,以便它们不能重复使用
    复杂性要求 - 5种字符类型中的3种(上,下,数字,特殊和Unicode)不得包含用户名
    使用可逆加密存储密码
    防止意外删除
    最小密码年龄 - 阻止用户在同一天多次更改密码,使其超过“密码历史记录”字段中设置的密码,并可以再次重复使用相同的密码
    最大密码年龄 - 密码何时到期
    锁定策略 - 用户在帐户被锁定之前输入错误密码的次数,以及他们应该被锁定多长时间
    直接适用于 - 此策略应该适用于用户或组,您不能将其应用于OU

    关于FGPP你可以在下面的链接中获得更多的了解:

    https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-

    https://specopssoft.com/blog/create-fine-grained-password-policy-active-directory/

    此外我还找到了一个关于使用ADSIedit设置细粒度密码策略的中文链接

    http://blog.51cto.com/beanxyz/2073442希望可以帮助到你。

    最好的祝福,

    Lee


    Just do it.

    • 已标记为答案 大漠0673 2018年11月19日 7:44
    2018年11月19日 3:09

全部回复

  • 你好,

    你可以使用细粒度密码策略来设置ad域用户的密码策略。您可以使用细粒度密码策略在单个域中指定多个密码策略,并将密码和帐户锁定策略的不同限制应用于域中的不同用户组。

    细粒度密码策略不是在group policy management这个工具来修改,而是使用ADAC或者ADSIedit来配置的。请根据下面的步骤来进行配置.

    以ADAC为例:

    1. 要启用细粒度密码策略(FGPP),您需要打开Active Directory管理中心(ADAC),切换到树视图并导航到系统,密码设置容器

    2. 右键单击“密码设置容器”对象,然后选择“ 新建 ”,“ 密码设置 ”

    3. 在“创建密码策略”UI中,填写所有适当的字段。

    4. 单击“直接适用于”一节中的“添加”按钮,然后选择要作为目标的全局组。

    在我们的案例中,“高安全性用户”组,然后单击“确定”。

    然后单击“确定”,关闭“创建密码策略”对话框。

    这样一个细粒度密码策略(FGPP)就完成了。

    您可以在此处使用与默认域策略中相同的基本选项:

    名称 - 为其提供一个体面的名称,以反映此政策适用的群组或个人
    优先级 - 如果有多个FGPP适用于用户,例如它们位于多个AD组中,则优先级定义应适用于哪个策略
    最小密码长度 - 所有密码都应具有最小字符数
    密码历史记录 - AD为每个用户记住的密码数,以便它们不能重复使用
    复杂性要求 - 5种字符类型中的3种(上,下,数字,特殊和Unicode)不得包含用户名
    使用可逆加密存储密码
    防止意外删除
    最小密码年龄 - 阻止用户在同一天多次更改密码,使其超过“密码历史记录”字段中设置的密码,并可以再次重复使用相同的密码
    最大密码年龄 - 密码何时到期
    锁定策略 - 用户在帐户被锁定之前输入错误密码的次数,以及他们应该被锁定多长时间
    直接适用于 - 此策略应该适用于用户或组,您不能将其应用于OU

    关于FGPP你可以在下面的链接中获得更多的了解:

    https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-

    https://specopssoft.com/blog/create-fine-grained-password-policy-active-directory/

    此外我还找到了一个关于使用ADSIedit设置细粒度密码策略的中文链接

    http://blog.51cto.com/beanxyz/2073442希望可以帮助到你。

    最好的祝福,

    Lee


    Just do it.

    • 已标记为答案 大漠0673 2018年11月19日 7:44
    2018年11月19日 3:09
  • 按照你的指導,新建了PSO,應用到了用戶身上。

    域的默認密碼長度是8位,我新建的PSO密碼默認是4位。

    在域控機器上,用管理員強制更改某用戶密碼為4位,顯示成功修改,此用戶也能用4位密碼登錄系統。

    但是此用戶在客戶端機器上自己修改密碼,系統就會提示新密碼不符合長度或複雜度,看起來用戶自主修改密碼還是在套用域控的默認密碼策略。

    2018年11月19日 6:55
  • 请尝试在客户端上使用cmd运行“gpupdate /force”来更新策略。


    Just do it.

    2018年11月19日 7:00
  • 問題解決了,謝謝。
    2018年11月19日 7:43
  • 你好,

    请问您的问题解决了吗? 如果您使用我们的方案解决问题,请“将其标记为答案”,以帮助其他社区成员快速找到有用的回复。 如果您使用自己的方案解决问题,请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员也是非常有帮助的。 如果没有,请回复并告诉我们目前的情况,以提供进一步的帮助。

    Best Regards,

    Lee


    Just do it.

    2018年11月19日 7:45