none
Windows Server 2016 组策略的优先级别 RRS feed

  • 问题

  • 您好

        咨询一下,想在AD设置一个密码策略,之前获悉一个域里面只能有一个账户密码策略,那如果每个OU底下的组策略都设置了一个密码策略,那最后生效的是哪条策略,另外,本地组策略,域组策略,OU组策略的优先级哪个最高,哪个最低?还是分情况,比如安全设置域的组策略最高,其它的策略不如windows 应用的设置更改,OU的组策略最高,能否查看。

    2020年12月22日 6:27

答案

全部回复

  • 尊敬的客户,您好:

    1,密码策略只对域起作用,应用于整个域。一个域只有一个密码策略。
    在Default Domain Policy这个GPO下面设置。如果是在OU下设置了密码策略的话,是不会应用的。

    2,GPO按以下顺序处理:

    将应用本地GPO。
    将应用链接到站点的GPO。
    将应用链接到域的GPO。
    链接到组织单位的GPO被应用。对于嵌套的组织单位,将应用链接到上级组织单位的GPO,然后再应用链接到下级组织单位的GPO。

    通常,组策略应用GPO的顺序确定优先级。顺序为站点,域,OU和子OU。因此,子OU中的GPO的优先级高于链接到父OU的GPO的优先级,而父OU的GPO的优先级高于链接到域的GPO的优先级,后者的优先级高于链接到站点的GPO。

    所以,通常,本地组策略的优先级最低,OU的组策略优先级最高(如果有子OU的话,子OU的优先级最高)。这个是不分情况的,适用于所有的设置。

    3,链接到同一OU的GPO可能有多个。按照策略顺序自下而上执行策略。Link Order最大,优先级最低。Link Order最小,优先级最高。


    这个可以通过GpLink属性查看,该属性列出了应用与此OU的所有GPO,包含强制和linked选项设置。也包含了GPO的优先级列表,优先级顺序是从最低到最高。



    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月22日 7:16
  • 再问那客户端多久会同步一次域的组策略?我在Default Domain Policy上面做了密码策略,也通过gpupdate /force命令来更新,在客户端系统上面执行gpresult /h gp.html,在生产的HTML报告里面看不到应用该策略,尝试重启两次系统也没生效。

    2020年12月22日 9:41
  • 您好,

    感谢您的回复。

    如果设置了密码策略,计算机启动的时候会自动应用。如果已经启动的话,每隔90-120分钟会自动应用。另外运行gpupdate /force的话就会手动强制刷新策略。

    请问所有的客户端上面都看不到应用该策略吗?
    另外,在生成的HTML报告中,只有密码策略看不到,是吗?其他的配置的策略是能够看到的,对吗?

    我环境中配置了密码策略,在域控上查看HTML报告,能够看到策略。



    客户端上面查看HTML报告,也是能够看到策略。



    如有问题,请随时联系我们。

    此致,
    Hannah Xiong


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月23日 1:59
  • 我是域控和客户端都没拿到策略
    2020年12月23日 10:03
  • 您好,

    感谢您的回复。

    根据您的截图,我们查看的是“用户详细信息”,应该查看的是“计算机详细信息”。



    我们可以查看下HTML报告下的“计算机详细信息”,确认是否有策略。

    查看计算机策略的话,需要以管理员身份运行CMD,然后输入gpresult /h C:\report.html

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月24日 1:37
  • 确实看不到,如下图所示,GPO里面已经设置了,通过gpupdate /force更新了好几次,另外如果是终端上面以管理员身份运行的话提示是没有域管理员的soap:

    2020年12月24日 5:54
  • 您好,

    感谢您的回复。

    使用gpresult进行检查时,某些设置仅显示在PDC emulator上。 隐藏在非PDC域控制器上的设置是:
    帐户策略/密码策略
    帐户策略/帐户锁定策略

    所以,如果我们不是在PDC上查看的gpresult的话,是不会显示密码策略的。请问,WIKIDC这台域控是PDC吗?如果不是的话,不会显示密码策略。

    我们可以到PDC上去查看下HTML报告,是否有显示密码策略。

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月24日 7:43
  • 这台是pdc没有别的服务器
    2020年12月24日 9:09
  • 网内仅此一台是pdc,还有一台子域的服务器,不过是关机状态。
    2020年12月24日 9:10
  • 您好,

    感谢您的回复。

    请问在此DC上运行netdom query fsmo,显示的是此DC吗?



    在此DC上面运行net accounts,会显示配置的密码策略吗?



    另外的话,我们可以检查下在域控制器组织单位上是否启用了“阻止策略继承”选项。正常应该是未启用,即下面截图的状态。



    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月24日 9:49
  • 执行net accounts策略显示的密码策略是之前的一条GPO策略,不过那个策略我已经删除了,但是账户应用的密码策略貌似还是之前那条GPO的,现在域下面只有Default Domain Policy这一个策略,同时我也没有阻止该域策略,想给您截图但是上传不了图片
    2020年12月25日 4:02
  • 您好,

    感谢您的回复。

    请问,如果查看PDC上的本地组策略的话,显示的密码策略是新设置的密码策略吗?



    另外的话,上次的回复中我们也提到,我们可以检查下在域控制器组织单位上是否启用了“阻止策略继承”选项。正常应该是未启用,即下面截图的状态。


    Reference: https://docs.microsoft.com/en-us/troubleshoot/windows-server/group-policy/password-policy-changes-not-applied

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月28日 2:29
  • 您好

      PDC本地组策略和域的组策略不一致,右键域控制器截图如下。

    • 已标记为答案 Tony Mu 2021年3月9日 6:50
    2020年12月29日 4:45
  • 您好,

    感谢您的回复。

    根据您的反馈,PDC本地组策略和域的组策略不一致。我们可以编辑PDC本地组策略吗?如果可以的话,请更改PDC本地组策略,使其和域的组策略保持一致。

    目前来看,我们环境中应用的密码策略还是之前的设置的密码策略。之前设置的密码策略,也是在DeFault Domain Policy下设置的吗?我们是如何删除的呢?

    期待您的反馈。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年12月30日 9:28
  • 你好,

    如有任何进展欢迎随时更贴!


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2021年1月4日 3:28
  • 之前的密码策略是在另外一个域的组策略创建的,后来直接将这条密码组策略删除了。
    2021年1月5日 8:15