登录
Microsoft.com
 
Microsoft
 
 
 

none
AD域2012组策略密码策略是否可以使用多个组策略实现不同的密码控制效果? RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票

    目前AD域为2012。

    使用default组策略设置了密码策略;

    1、 密码策略:
    密码长度需大于等于12位;
    密码使用最长时间:90天(密码将在90天后过期)。
    强制记住密码历史:3(不能与以前用过的3个密码中任何一个相同)
    2、账户锁定策略:
    密码输入错误超过5次自动锁定,锁定30分钟后自动解锁;

    想单独设置一个组策略other,密码策略为空,特殊的几个用户(含test用户)加入到这个组里面,针对这个组生效。

    用test用户登录计算机,执行gpresult -v ,看到应用的策略是other策略。注销test,输入密码错误5次后,test依然被锁定。

    求指导

    2018年9月11日 9:02
    |

答案

全部回复

  • Question
    登录进行投票
    0
    登录进行投票

    您好,

    感谢您的发帖。

    根据您的需求,首先我们需要对default组策略进行一些设置。

    将您需要另外设置组策略的用户放在一个组里,将组添加到委派,然后给它拒绝读取和应用的权限。

    请参考以下这张截图。

    然后我们创建一个新的域范围的组策略,将密码策略和账户锁定策略按照我们的需求配置好。在安全筛选中,删除Authenticated Users并且添加我们需要应用到的组。

    希望以上信息对您有所帮助。

    Best regards,

    Kallen

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年9月12日 2:30
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票
    

    您好,在把组添加到委派当中,只有这三个选择。读取、编辑设置、编辑设置,删除、修改安全性。

    没有看到您说的拒绝读取和应用权限。

    2018年9月12日 2:45
    |
  • Question
    登录进行投票
    0
    登录进行投票

    您好,我按您的指导进行了设置目前test用户输入多次错误密码还是被锁定,麻烦再帮忙看看,非常感谢。

    此图为默认策略,委派中添加了other组,进行了高级设置拒绝了读取和应用组策略。

    这是针对这个组设置的其他策略,这个策略当中密码和账户锁定策略为空。

    这个是test隶属于other组。

    2018年9月12日 3:31
    |
  • Question
    登录进行投票
    0
    登录进行投票

    您好,

    感谢您的回复。

    针对您的问题,我正在进行研究和测试,需要您的耐心等待。

    我会尽快联系您。

    感谢您的理解和支持。

    Best regards,

    Kallen

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年9月12日 4:10
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票
    非常感谢,麻烦您了。
    2018年9月12日 5:04
    |
  • Question
    登录进行投票
    0
    登录进行投票

    您好,

    经过我的研究,我们可以使用细粒度密码和账户锁定策略。

    详细信息关于如何配置和管理等请查看以下的链接。

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc770842(v%3dws.10)

    https://blogs.technet.microsoft.com/meamcs/2012/05/29/creating-fine-grained-password-policies-through-gui-windows-server-2012-server-8-beta/

    希望以上信息对您有所帮助。

    Best regards,

    Kallen

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年9月12日 9:54
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票
    谢谢,我试下。
    2018年9月12日 10:09
    |
  • Question
    登录进行投票
    0
    登录进行投票

    链接1没有看懂。

    参考链接2进行了设置,可以实现。非常感谢!

    https://blogs.technet.microsoft.com/meamcs/2012/05/29/creating-fine-grained-password-policies-through-gui-windows-server-2012-server-8-beta/

    通过服务器管理-工具- Active Directory管理中心-System-Password Setting Container 进行密码策略设置,指定具体的用户进行单独控制。

    特殊组(图1),单独添加用户(用户与默认策略在相同OU),图2默认策略组,默认策略对账户密码复杂度及错误锁定进行限制,特殊策略组不进行限制,经测试test账户输入多次不会被锁定,测试chenjianwei账户输入密码错误多次会锁定;

    2018年9月13日 12:55
    |
  • Question
    登录进行投票
    0
    登录进行投票

    您好,

    感谢您的反馈。

    非常高兴能够解决您的问题。

    链接一主要是对于该配置的理论解释等。

    是否可以麻烦您将有用的回复标记为答案呢?

    感谢您的理解和支持。

    祝您生活愉快!

    Best regards,

    Kallen

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年9月14日 2:12
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    您好,这个问题我还有一些疑问。

    密码最长使用期限:

    通过服务器管理-工具- Active Directory管理中心-System-Password Setting Container:

    我设定了比如10天。

    但是我通过命令net user user /domain去查看用户的密码到期时间实际还是应用了组策略里面的日期设定(但是实际我已经把默认域控组策略42天,改为了不启用,但是查看用户显示未到期时间还是42天)。

    针对这个问题有建议吗?

    2018年12月19日 9:33
    |
  • Question
    登录进行投票
    0
    登录进行投票

    您好,

    要查看当前账户应用的密码策略,请在当前账号下运行命令net accounts

    Best regards.

    Kallen

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年12月20日 8:07
    |
    版主