Windows Server 2003.
Мне нужен мой хост, чтобы изменить политику паролей (требуемую длину пароля) на машине, которая является частью их домена. Мне нужно только изменение, чтобы применить к учетным записям компьютеров.
Они утверждают, что это невозможно без ущерба для всего домена. Я знаю, что это возможно, потому что я делал это на других хостах.
Что для этого нужно сделать?
Это возможно, но с их точки зрения, вероятно, нецелесообразно. Или, возможно, они просто невежественны.
Я предполагаю, что их доменная политика была применена в GPO политики домена по умолчанию или в другом GPO, связанном с доменом. Проблема, по крайней мере, с их точки зрения, заключается в том, что это переопределит любые локальные политики, которые вы или они определяете в локальных политиках вашего компьютера.
Объекты групповой политики обрабатываются в следующем порядке:
Каждый последующий параметр политики перезаписывает ранее примененные параметры, которые конфликтуют, то есть локальные политики по длине пароля и т. Д. Всегда не имеют значения, поскольку политика домена применяется после локальной политики и, следовательно, перезаписывает ее.
Единственный способ получить то, что вы хотите, - это если они захотят поместить вашу машину в собственное подразделение, а затем создать новый объект групповой политики, содержащий нужные вам политики паролей. Этот GPO будет связан с OU, содержащим вашу машину.
Видеть этот Статья TechNet для более подробной информации.
А пользователь политика паролей не может быть установлена, не затрагивая весь Домен, но определенные компьютер параметры политики паролей также доступны в разделе Computer Config | Настройки Windows | Настройки безопасности | Местная политика | Параметры безопасности. Мне никогда не приходилось менять их, поэтому я не могу подтвердить или опровергнуть, что они могут быть изменены на уровне OU (или даже на локальном), но я предполагаю, что ваш хост может сбивать их с толку.
Если пользователь является учетной записью домена, применяется политика, установленная на уровне объекта групповой политики домена, и без исключения. (Это изменяется в Windows 2008 с новыми объектами параметров пароля)
Если вы хотите изменить политику паролей для локальных учетных записей на некоторых серверах, это возможно.
В нашем случае мы требуем, чтобы все локальные учетные записи, созданные на сервере, имели 15-символьный пароль (чтобы AD не сохранял там LM-хэши), в то время как все учетные записи домена имеют 10-символьные пароли.
Вы можете сделать это, создав групповую политику с соответствующими изменениями политики паролей и связав ее с ОУ где расположены все учетные записи компьютеров.