Назад | Перейти на главную страницу

Применять групповую политику паролей отдельно от политики домена по умолчанию?

Я пытаюсь сохранить свою политику домена по умолчанию чистой и стандартной, и я хочу сделать GPO для своих политик паролей.

Я сделал это, но он по-прежнему получает политики из объекта политики домена по умолчанию.

Я предполагаю, что он получает это, потому что он является наиболее ограничительным, но мне бы понравился тот, что я могу сделать копию политики домена по умолчанию, отредактировать ее, а затем применить сначала ее, и если что-то не применяется / не изменено / и т. Д., примените значение по умолчанию в политике домена по умолчанию.

Является ли это возможным?

Ваша политика паролей может быть в созданной вами групповой политике. В «политике домена по умолчанию», созданной для вас, нет ничего особенного.

Политика, которую вы должны применять в корне для достижения наилучших результатов. Будучи связан напрямую или унаследованным от корня, и не быть заблокированным. Политики паролей - это компьютерная политика и выполняются компьютером с базой данных паролей. В случае вашего активного каталога это ваши контроллеры домена.

Вероятно, что у вас уже есть настройки политики паролей в существующих политиках (они установлены по умолчанию), поэтому будет важно убедиться, что порядок связывания этой новой политики соответствует любой другой политике, хотя вам, вероятно, следует удалить настройки пароля из любые другие правила для предотвращения путаницы.

Если вы посмотрите на результаты групповой политики для одного из ваших контроллеров домена, вы должны увидеть, какая политика и параметры применяются и от какого объекта политики, если у вас возникнут проблемы.


Отдельная политика паролей

Порядок ссылки на политику

Результаты политики.

Политики паролей, установленные в политике домена по умолчанию, всегда применяются поверх любых других политик паролей, если вы не используете FGPP где-то в дальнейшем.

это нормально, если он находится в корне домена, вот где он должен быть.

Если вы хотите применить отдельную политику паролей, вам необходимо установить для всех параметров пароля в политике по умолчанию значение «Не задано», а затем создать новый объект групповой политики (или использовать другой уже существующий), чтобы одновременно применить параметры пароля. , или другой уровень.

Создайте параметры пароля, определенные в Центре администрирования Active Directory> выберите свой домен> выберите контейнер системы> выберите контейнер параметров пароля> выберите «Создать»> выберите параметры пароля.

Здесь вы можете применять политики на основе отдельных групп или пользователей, отличных от политики домена.

Используйте приоритет для управления несколькими политиками, которые могут применяться к одной и той же группе пользователей.

Надеюсь, это поможет.

-Джастин

Перво-наперво. Политика паролей актуальна только для органов, которые меняют пароли. В домене AD это контроллер домена, которому принадлежит роль FSMO эмулятора PDC. Как следствие, в среде по умолчанию есть только два места, где вы можете теоретически применить политику паролей:

  1. Домен (корень)
  2. Подразделение «Контроллеры домена» (непосредственно под корнем домена)

Поэтому, если вы примените политику паролей к подразделению, которое где-то не содержит эмулятора PDC, это может и не будет иметь никакого эффекта. Вы увидите настройки на клиенте, хотя при просмотре с secpol.msc, но они бессмысленны. Учитываются только настройки, которые применяются к эмулятору PDC.

Теперь в политиках паролей есть кое-что особенное. Они предназначены для применения ко всему домену. Поэтому MS не поддерживает политики паролей, которые применяются к подразделению «Контроллеры домена». Итак, ваша единственная оставшаяся площадка - это домен. Там вы действительно можете иметь настраиваемый объект групповой политики, содержащий политики паролей. Чтобы победить политику домена по умолчанию или другие объекты групповой политики, содержащие политики паролей, у вас есть две возможности:

  1. Обеспечьте соблюдение своего настраиваемого объекта групповой политики (при условии, что это будет первый принудительный объект групповой политики на уровне домена)
  2. Переместите свой настраиваемый объект групповой политики над всеми другими объектами групповой политики (содержащими политики паролей и предполагающими, что они не применяются) относительно порядка связывания. Значит, дайте ему меньшее число. Объекты групповой политики применяются в обратном порядке, поэтому объект групповой политики с порядковым номером 1 будет применяться последним и, таким образом, победит.

Раньше я пытался сделать это безуспешно. Для работы политики паролей должны применяться в политике домена по умолчанию.