none
AD域2012组策略密码策略是否可以使用多个组策略实现不同的密码控制效果? RRS feed

  • 问题

  • 目前AD域为2012。

    使用default组策略设置了密码策略;

    1、 密码策略:
    密码长度需大于等于12位;
    密码使用最长时间:90天(密码将在90天后过期)。
    强制记住密码历史:3(不能与以前用过的3个密码中任何一个相同)
    2、账户锁定策略:
    密码输入错误超过5次自动锁定,锁定30分钟后自动解锁;

    想单独设置一个组策略other,密码策略为空,特殊的几个用户(含test用户)加入到这个组里面,针对这个组生效。

    用test用户登录计算机,执行gpresult -v ,看到应用的策略是other策略。注销test,输入密码错误5次后,test依然被锁定。

    求指导

    2018年9月11日 9:02

答案

全部回复

  • 您好,

    感谢您的发帖。

    根据您的需求,首先我们需要对default组策略进行一些设置。

    将您需要另外设置组策略的用户放在一个组里,将组添加到委派,然后给它拒绝读取和应用的权限。

    请参考以下这张截图。

    然后我们创建一个新的域范围的组策略,将密码策略和账户锁定策略按照我们的需求配置好。在安全筛选中,删除Authenticated Users并且添加我们需要应用到的组。

    希望以上信息对您有所帮助。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年9月12日 2:30
    版主
  • 

    您好,在把组添加到委派当中,只有这三个选择。读取、编辑设置、编辑设置,删除、修改安全性。

    没有看到您说的拒绝读取和应用权限。

    2018年9月12日 2:45
  • 您好,我按您的指导进行了设置目前test用户输入多次错误密码还是被锁定,麻烦再帮忙看看,非常感谢。

    此图为默认策略,委派中添加了other组,进行了高级设置拒绝了读取和应用组策略。

    这是针对这个组设置的其他策略,这个策略当中密码和账户锁定策略为空。

    这个是test隶属于other组。

    2018年9月12日 3:31
  • 您好,

    感谢您的回复。

    针对您的问题,我正在进行研究和测试,需要您的耐心等待。

    我会尽快联系您。

    感谢您的理解和支持。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年9月12日 4:10
    版主
  • 非常感谢,麻烦您了。
    2018年9月12日 5:04
  • 您好,

    经过我的研究,我们可以使用细粒度密码和账户锁定策略。

    详细信息关于如何配置和管理等请查看以下的链接。

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc770842(v%3dws.10)

    https://blogs.technet.microsoft.com/meamcs/2012/05/29/creating-fine-grained-password-policies-through-gui-windows-server-2012-server-8-beta/

    希望以上信息对您有所帮助。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年9月12日 9:54
    版主
  • 谢谢,我试下。
    2018年9月12日 10:09
  • 链接1没有看懂。

    参考链接2进行了设置,可以实现。非常感谢!

    https://blogs.technet.microsoft.com/meamcs/2012/05/29/creating-fine-grained-password-policies-through-gui-windows-server-2012-server-8-beta/

    通过服务器管理-工具- Active Directory管理中心-System-Password Setting Container 进行密码策略设置,指定具体的用户进行单独控制。

    特殊组(图1),单独添加用户(用户与默认策略在相同OU),图2默认策略组,默认策略对账户密码复杂度及错误锁定进行限制,特殊策略组不进行限制,经测试test账户输入多次不会被锁定,测试chenjianwei账户输入密码错误多次会锁定;

    2018年9月13日 12:55
  • 您好,

    感谢您的反馈。

    非常高兴能够解决您的问题。

    链接一主要是对于该配置的理论解释等。

    是否可以麻烦您将有用的回复标记为答案呢?

    感谢您的理解和支持。

    祝您生活愉快!

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年9月14日 2:12
    版主
  • 您好,这个问题我还有一些疑问。

    密码最长使用期限:

    通过服务器管理-工具- Active Directory管理中心-System-Password Setting Container:

    我设定了比如10天。

    但是我通过命令net user user /domain去查看用户的密码到期时间实际还是应用了组策略里面的日期设定(但是实际我已经把默认域控组策略42天,改为了不启用,但是查看用户显示未到期时间还是42天)。

    针对这个问题有建议吗?

    2018年12月19日 9:33
  • 您好,

    要查看当前账户应用的密码策略,请在当前账号下运行命令net accounts

    Best regards.

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年12月20日 8:07
    版主