Назад | Перейти на главную страницу

Как исключить пользователя из применяемой политики паролей

Я получил требование исключить одного пользователя из политики паролей компании (генеральный директор, если вы спросите).

Таким образом, я безуспешно пробовал следующее.

  1. Я скопировал настройки пароля домена по умолчанию в новый объект.
  2. Я включил этот новый объект для авторизованных пользователей.
  3. В настройках делегирования пароля домена я добавил конкретного пользователя, а в поле: Применить - я установил для него значение Запретить * следует ли мне также установить параметр «Запретить чтение»?

Я вижу, что, когда пользователь входит в систему, gpresult показывает, что применяется GP пароль домена, однако он по-прежнему имеет те же ограничения, что и остальная часть домена.

Q: Что я делаю не так? -: Как я могу исключить пользователя из политики домена?

Очень ценю

Windows Active Directory имеет два разных стиля политики паролей:

  • Тот, который вы установили в политике домена по умолчанию (или другой объект групповой политики, связанный с корневым объектом домена), который применяется ко всему без исключения (2000-2008r2)
  • А Подробная политика паролей который позволяет вам устанавливать разные политики для разных групп с исключениями (2008-2008r2)

С первым типом довольно сложно работать из-за пункта «без исключений». Не могут быть размещены специальные пользователи, такие как ваш, как и некоторые важные пользователи служебных программ (например, пользователь, который все веб-приложения используют для привязки LDAP). Вот почему родились детальные политики паролей.

FGPG являются не На основе GPO они применяются совершенно другим способом. Однако вам необходимо иметь функциональный уровень Server 2008, чтобы вообще их использовать. Они могут позволить вам установить единую политику паролей для всех пользователей, кроме специальной группы, и установить совершенно другую политику для этой группы. Или отдельная политика для каждого из этих специальных пользователей. У него даже есть механизм для обработки совпадений политик, чтобы определить, какая политика выиграет, когда можно применить более одной политики.

Стиль, применяемый в Server 2000 и применяемый ко всем паролям, может быть трудным для понимания. Он устанавливается в одном и только одном месте - GPO, связанном с корневым объектом домена. Параметры были видны в любом объекте групповой политики, но они ничего не делают, если заданы в политиках, не связанных с root.