none
Windows Server 2016 AD针对不同OU设置权限 RRS feed

  • 问题

  • 您好

        环境中有多台Windows Server 2016域控服务器分布在全国各个地区,其中数据中心有一台主域控服务器PDC,其余各个地区都是额外域控服务站SDC,各个地区到数据中心都是专线,现在想针对不同地区建不同OU,并针对不同OU设置不同的密码组策略,想请教下,如果我针对每个OU建了一个domain admin管理员,各个地区的管理员除了能给本地区的用户进行操作简单的计算机加域、退域、应用程序安装以及制定属于本OU的组策略外其它权限一律收回,而且各个地区的OU管理员只能在ADCU上面看到本组织的信息,其它OU都看不到包括组策略,我的思路就是针对每个OU给相应的管理员权限,同时在OU的安全属性里面拒绝其它OU的管理员访问权限不知道是否可行,想了解下微软标准的做法是什么,求赐教。感谢


    • 已编辑 Tony Mu 2020年11月26日 0:37
    2020年11月26日 0:36

答案

  • 你好,

    可以使用以下方式解决:

    1,不需要更改密码的账户,可以在账户属性中设置密码永不过期,这样,该账户就不会受密码策略影响。在ADUC中,右击该用户打开属性,账户标签,勾选密码永不过期。

    2,涉密人员需要7天更改一次密码的用户加入Global安全组,使用FGPP针对改组设置特定的密码策略。FGPP只能应用给用户和组,不能使用OU进行部署。具体步骤可参考以下链接:

    https://docs.microsoft.com/en-us/archive/blogs/canitpro/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad

    3,通用的密码策略则可以在default domain policy 里面部署。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 Tony Mu 2020年11月27日 14:10
    2020年11月27日 6:02

全部回复

  • 你好,

    关于您的几个问题:

    1,现在想针对不同地区建不同OU,并针对不同OU设置不同的密码组策略

      每个域只能有一个帐户策略。必须在默认域策略或链接到域根目录的新策略中定义帐户策略,并且该策略必须优先于默认域策略,该默认域策略由域中的域控制器强制执行。这些域范围的帐户策略设置(密码策略,帐户锁定策略和Kerberos策略)由域中的域控制器强制实施;因此,域控制器总是从默认域策略组策略对象(GPO)中检索这些帐户策略设置的值。

    详细信息请参考以下链接:

    https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/account-policies

    2,为每个OU创建专属管理员

    可行.您可以使用组织单位(OU)将OU中的对象(例如用户或计算机)管理委派给指定的个人或组。若要使用OU委派管理,请将要委派管理权限的个人或组放入一个组,将要控制的对象集放入OU,然后将该OU的管理任务委派给该组.

    详细信息请参考以下链接:

    https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/delegating-administration-by-using-ou-objects

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年11月27日 0:05
  • 第二个我知道了,那第一个再向您请教下,之所以针对不同OU设置不同密码策略因为当前环境里面的一些应用进程服务依赖所设定的账户,比如我的sql server数据库就是依赖我设置的contoso\sqladmin这个账户,像这个账户密码是不能定期更改密码需要不变的,还有我的一些涉密人员他们的密码账户需要7天更换一次,但是非涉密人员密码90天更换一次即可。这个您有什么好建议的吗?
    2020年11月27日 5:04
  • 你好,

    可以使用以下方式解决:

    1,不需要更改密码的账户,可以在账户属性中设置密码永不过期,这样,该账户就不会受密码策略影响。在ADUC中,右击该用户打开属性,账户标签,勾选密码永不过期。

    2,涉密人员需要7天更改一次密码的用户加入Global安全组,使用FGPP针对改组设置特定的密码策略。FGPP只能应用给用户和组,不能使用OU进行部署。具体步骤可参考以下链接:

    https://docs.microsoft.com/en-us/archive/blogs/canitpro/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad

    3,通用的密码策略则可以在default domain policy 里面部署。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 Tony Mu 2020年11月27日 14:10
    2020年11月27日 6:02