溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

發(fā)布時(shí)間:2020-07-16 16:43:52 來源:網(wǎng)絡(luò) 閱讀:11243 作者:beanxyz 欄目:系統(tǒng)運(yùn)維

組策略配置問題

今天組里有個(gè)哥們遇見個(gè)問題,他需要給一些新建的管理賬戶設(shè)置一個(gè)專門的密碼策略。他模仿defaut domain policy里面的設(shè)置,創(chuàng)建了個(gè)新的,然后應(yīng)用到對(duì)應(yīng)的OU上。聽起來好像很合理的操作,但是居然不工作。

貌似正確的配置,其實(shí)不工作

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

這個(gè)問題其實(shí)是涉及到了在AD里面如何細(xì)粒度地給一部分人設(shè)定特殊的密碼策略。在GPO里面,一般設(shè)置密碼策略的時(shí)候,大家都習(xí)慣部署在根部節(jié)點(diǎn)上,或者更省事的話就是直接在default domain policy里面修改了。細(xì)粒度的設(shè)置過程不一樣,他不是在group policy managment這個(gè)工具里面修改,而是在ADSIEdit或者Active Directory Administrative Center (ADAC)里面修改。

正確打開姿勢(shì):

以ADSIEdit為例:

打開ADSIEdit->CN=SYSTEM->CN=Password Settings Container, 選擇新建一個(gè)Object

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

取個(gè)名字
老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

這個(gè)對(duì)象的前綴,以便和其他的區(qū)分(比如某用戶應(yīng)用了N多個(gè)的話)

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

密碼歷史記錄個(gè)數(shù)

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

是否啟用密碼復(fù)雜度

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

密碼最小長度

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

密碼最短天數(shù)

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

密碼最長天數(shù)

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

失敗幾次鎖住賬號(hào)

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

上鎖觀察期

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

上鎖長度

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

結(jié)束

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

創(chuàng)建好的對(duì)象

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

修改msDS-PSOAppliesTo屬性

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

分配對(duì)應(yīng)的安全組即可

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

測(cè)試

搞定以后隨便登錄一個(gè)服務(wù)器看看,提示修改密碼,成功

老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

最后,在ADAC里面打開,可以看見同樣的配置內(nèi)容
老生常談一下在AD中細(xì)粒度設(shè)置密碼策略

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI