Назад | Перейти на главную страницу

Как найти все объекты групповой политики в домене, которые определяют политики паролей?

У нас есть несколько объектов групповой политики, которые со временем выросли органически. Я предполагаю, что многие из них определяют политики паролей. Мне известно, что его можно установить только один раз в домене (кроме объектов PSO и особого случая, когда объект групповой политики связан с объектом компьютера, влияющим только на учетные записи локальных пользователей)

Возникает вопрос: как мне найти все объекты групповой политики в домене, которые определяют политики паролей?

active-directory group-policy

Вы можете использовать сценарий, разработанный Microsoft для Technet:

Проверьте параметр во всех объектах групповой политики (безопасность, ADMX и т. Д.)

Вы можете экспортировать существующий объект групповой политики, такой как политика домена по умолчанию, как XML (щелкните правой кнопкой мыши объект групповой политики в консоли управления групповыми политиками и «Сохранить отчет» как XML), чтобы просмотреть и увидеть различные «варианты» в зависимости от того, как работает сценарий.

Например, вот некоторые выходные данные объекта групповой политики, который устанавливает политики паролей:

Extension xmlns:q1="http://www.microsoft.com/GroupPolicy/Settings/Security" xsi:type="q1:SecuritySettings">
        <q1:Account>
          <q1:Name>ClearTextPassword</q1:Name>
          <q1:SettingBoolean>false</q1:SettingBoolean>
          <q1:Type>Password</q1:Type>
        </q1:Account>
        <q1:Account>
          <q1:Name>LockoutBadCount</q1:Name>
          <q1:SettingNumber>0</q1:SettingNumber>
          <q1:Type>Account Lockout</q1:Type>
        </q1:Account>
        <q1:Account>
          <q1:Name>MaximumPasswordAge</q1:Name>
          <q1:SettingNumber>30</q1:SettingNumber>
          <q1:Type>Password</q1:Type>
        </q1:Account>
        <q1:Account>
          <q1:Name>MinimumPasswordAge</q1:Name>
          <q1:SettingNumber>0</q1:SettingNumber>
          <q1:Type>Password</q1:Type>
        </q1:Account>
        <q1:Account>
          <q1:Name>MinimumPasswordLength</q1:Name>
          <q1:SettingNumber>7</q1:SettingNumber>
          <q1:Type>Password</q1:Type>
        </q1:Account>
        <q1:Account>
          <q1:Name>PasswordComplexity</q1:Name>
          <q1:SettingBoolean>true</q1:SettingBoolean>
          <q1:Type>Password</q1:Type>
        </q1:Account>

Для политик паролей вы можете использовать скрипт со следующим синтаксисом:

.\SearchGPOsForSetting.ps1 -IsComputerConfiguration $true -Extension Security -Where Name -Is PasswordComplexity

чтобы найти любой объект групповой политики, для которого задано значение PasswordComplexity.

Вы можете изменить сценарий в соответствии со своими потребностями, если вы понимаете сценарии PS, но есть основы, чтобы получить то, что вы хотите.