none
域账户密码策略的设置问题 RRS feed

  • 问题

  • 您好,版主!

       我的域控制器是windows server 2012  ,最近为了提高账户的安全性,想通过组策略部署密码策略。我能否通过新建多个密码组策略对象,将不同的OU链接到各自密码组策略对象,实现对不同的OU应用不同的账户密码策略。


    田辉

    2020年8月25日 8:17

全部回复

  • 尊敬的客户,您好!

    感谢您在Technet论坛发帖。

    密码策略只对域起作用,应用于整个域。一个域只有一个密码策略。并且是在Default Domain Policy这个GPO下面设置。所以无法实现对不同的OU应用不同的账户密码策略。

    Active Directory Administrative Center里也有密码策略,即颗粒化密码策略(Fine-Grained Password Policies,简称FGPP)。颗粒化密码策略是应用给用户或者用户组的。细粒度密码策略仅适用于全局安全组和用户对象。细粒度密码策略不能直接应用于组织单位(OU)。我们需要自己手动配置并应用给用户或者用户组。

    关于FGPP的详细信息,我们可以参考:

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc770394(v=ws.10)?redirectedfrom=MSDN

    https://docs.microsoft.com/zh-cn/archive/blogs/canitpro/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad


    如有问题,请随时联系我们。

    此致,
    Hannah Xiong


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月25日 8:52
  • 非常感谢您的答复!

        还有几个问题想请教您。

    1、如果在域的组策略中启用密码强化策略(当前密码策略没有设置,比较弱),客户端用户会立刻生效吗?如果不生效,新的密码策略需要多长时间可以生效。

    2、能否设置在指定的时间内,某些客户端用户启用密码强化策略。这样防止密码强化后,用户集中进行更改,造成各种问题。

    3、目前颗粒密码策略只能用于全局的安全组,不能直接作用于OU。如果要用到OU,需要创建影子组,该方法是否可行,如何创建?

    4、用户的属性里面有的设置密码永不过期和不允许修改密码,这个和组策略的设置会冲突吗?


    田辉



    • 已编辑 tianskyyou 2020年8月26日 6:53 补充1
    2020年8月26日 6:39
  • 您好,

    感谢您的回复。

    1,如果设置了密码强化策略,计算机启动的时候会自动应用。如果已经启动的话,每隔90-120分钟会自动应用。另外运行gpupdate /force的话就会手动强制刷新策略。

    对于策略而言,上述描述的是策略的应用时间。但是对于密码策略,如果密码策略更改的话,何时会影响用户,这个需要具体来看。

    假设设置了密码长度最小值,或者密码必须符合复杂性要求,尽管策略已经应用,但是只有当用户的密码过期修改密码的时候,策略才会影响用户。

    再假设设置了密码最长使用期限,原来的时间是180天,现在时间改成90天的话,那么很多人的密码将立即过期。密码使用期限超过90天或者以上的用户都会收到影响,他们将要求更改密码。

    更多信息,我们可以参考:
    https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/active-directory-password-policies-when-does-a-password-policy/ba-p/256636

    2,暂时无法实现。我能理解我们的担忧,担心设置密码策略后,用户集中修改密码的话,会造成各种问题。如果是首次实施密码策略的话,需要将更改和所有密码要求通知到用户,另外也需要采取步骤,以使密码不会一次全部失效。建议可以随着时间推移逐步实施新策略。

    更多实施密码策略的注意事项,我们可以参考:
    https://social.technet.microsoft.com/wiki/contents/articles/52197.active-directory-considerations-when-implementing-a-new-password-expiration-policy.aspx

    3,根据官方文档,创建影子组的方法是可行的,具体如何创建,我们可以参考:
    https://social.technet.microsoft.com/wiki/contents/articles/20806.how-to-apply-an-ad-ds-fine-grained-password-policy-on-users-under-an-organizational-unit.aspx

    4,如果设置用户属性里面的密码永不过期的话,这个设置将会覆盖组策略的密码策略。也就是说这个属性设置的优先级更高。

    用户属性里面的不允许修改密码,这个设置不会影响密码策略,只会阻止用户更改密码。如果选中此设置,管理员或者有权更改用户密码的人员会增加工作量来帮助用户重置密码。

    希望以上信息对您有所帮助。如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2020年8月27日 2:01
  • 尊敬的客户,您好!

    我们正在跟踪您所遇到问题的进展,如果您还有任何的问题,请随时联系我们。

    如果上述回复对您有所帮助,您可以标记它们为答复,或者您可以把您自己解决问题的方法分享给我们,这对于有相同问题的其他人将会提供很大的帮助。

    感谢您的理解与支持。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月31日 6:34
  • 尊敬的客户,您好!

    请问我们的问题解决了吗?如有任何问题,请回复并告诉我们当前的情况,以便提供进一步的帮助。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年9月2日 1:44