您好,登錄后才能下訂單哦!
今天組里有個(gè)哥們遇見個(gè)問題,他需要給一些新建的管理賬戶設(shè)置一個(gè)專門的密碼策略。他模仿defaut domain policy里面的設(shè)置,創(chuàng)建了個(gè)新的,然后應(yīng)用到對(duì)應(yīng)的OU上。聽起來好像很合理的操作,但是居然不工作。
貌似正確的配置,其實(shí)不工作
這個(gè)問題其實(shí)是涉及到了在AD里面如何細(xì)粒度地給一部分人設(shè)定特殊的密碼策略。在GPO里面,一般設(shè)置密碼策略的時(shí)候,大家都習(xí)慣部署在根部節(jié)點(diǎn)上,或者更省事的話就是直接在default domain policy里面修改了。細(xì)粒度的設(shè)置過程不一樣,他不是在group policy managment這個(gè)工具里面修改,而是在ADSIEdit或者Active Directory Administrative Center (ADAC)里面修改。
以ADSIEdit為例:
打開ADSIEdit->CN=SYSTEM->CN=Password Settings Container, 選擇新建一個(gè)Object
取個(gè)名字
這個(gè)對(duì)象的前綴,以便和其他的區(qū)分(比如某用戶應(yīng)用了N多個(gè)的話)
密碼歷史記錄個(gè)數(shù)
是否啟用密碼復(fù)雜度
密碼最小長度
密碼最短天數(shù)
密碼最長天數(shù)
失敗幾次鎖住賬號(hào)
上鎖觀察期
上鎖長度
結(jié)束
創(chuàng)建好的對(duì)象
修改msDS-PSOAppliesTo屬性
分配對(duì)應(yīng)的安全組即可
搞定以后隨便登錄一個(gè)服務(wù)器看看,提示修改密碼,成功
最后,在ADAC里面打開,可以看見同樣的配置內(nèi)容
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。