Хорошо. Я внедрил политику паролей. Из предыдущих сообщений я знаю, что его нельзя применить из подразделения, поэтому я настроил его из политики домена по умолчанию. Я запускаю RSOP.msc с клиентского компьютера, и параметры политики отображаются с исходным GPO «Политика домена по умолчанию». Получается, что работает, но это не так. Например, у меня есть требование сложности, но он принимает пароль «а». Это также позволяет мне изменить свой пароль в Windows Security, если для параметра «Минимальный срок действия пароля» установлено значение 89 дней. Очевидно, что политика на самом деле не применяется!
Что делать?
RSOP results for XXXX\XXXX on XXXXX-XXXXX: Logging Mode
----------------------------------------------------------
OS Type: Microsoft Windows XP Professional
OS Configuration: Member Workstation
OS Version: 5.1.2600
Domain Name: XXXXXX
Domain Type: Windows 2000
Site Name: XXXXXX
Roaming Profile:
Local Profile: C:\Documents and Settings\XXXXX
Connected over a slow link?: No
COMPUTER SETTINGS
------------------
CN=XXXXXXXXX,OU=UserComputers,DC=corp,DC=XXXXX,DC=com
Last time Group Policy was applied: 10/14/2011 at 3:58:40 PM
Group Policy was applied from: tfs.corp.emergingmed.com
Group Policy slow link threshold: 0 kbps
Applied Group Policy Objects
-----------------------------
Published Software
Copy of Base
Default Domain Policy
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The computer is a part of the following security groups:
--------------------------------------------------------
BUILTIN\Administrators
Everyone
SQLServerMSSQLServerADHelperUser$XXXXX
BUILTIN\Users
NT AUTHORITY\NETWORK
NT AUTHORITY\Authenticated Users
XXXXXXX$
Domain Computers
People
USER SETTINGS
--------------
CN=XXXXXX,OU=Employees,DC=corp,DC=XXXX,DC=com
Last time Group Policy was applied: 10/14/2011 at 3:58:40 PM
Group Policy was applied from: tfs.corp.XXXXX.com
Group Policy slow link threshold: 0 kbps
Applied Group Policy Objects
-----------------------------
Published Software
Startup Scripts
Copy of Base
Default Domain Policy
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The user is a part of the following security groups:
----------------------------------------------------
Domain Users
Everyone
BUILTIN\Administrators
Remote Desktop Users
BUILTIN\Users
NT AUTHORITY\INTERACTIVE
NT AUTHORITY\Authenticated Users
LOCAL
Политика паролей должна применяться к OU серверов, на которых находится база данных учетных записей. Если вы пытаетесь контролировать пароль в активном каталоге, это означает, что ваша политика должна применяться к подразделению контроллеров домена. Если у вас заблокировано наследование в вашем подразделении контроллеров домена, то изменение политики домена по умолчанию, которая по умолчанию связана с корнем, не приведет к тому, что вы хотите.
Устанавливая политику на уровне домена по умолчанию, вы, вероятно, контролируете политику паролей своей рабочей станции. Под этим я подразумеваю, что локальные учетные записи на ваших рабочих станциях теперь будут иметь требования к паролю. Попробуйте создать локальную учетную запись и установить пароль.
Частично это связано с той же причиной, по которой у вас не может быть более одной политики паролей в домене до Windows 2008. Политика должна применяться ко всем Контроллерам домена, поэтому нет возможности различать разных пользователей / компьютеры.
Даже с детализированная политика в 2008 году вы не можете просто использовать групповую политику, вам нужно настроить специальные атрибуты в LDAP, чтобы разные объекты нацелены на разные политики паролей.