Мы пытаемся изменить существующую политику паролей, которая применяется через GPO. По какой-то причине он не применяет какие-либо параметры в разделе политики паролей (Comp Config> Policies> Windows settings> Security Settings> Account Policies> Password Policy).
У нас есть настройки пароля, определенные только в одном из наших объектов групповой политики. Это не политика домена по умолчанию, созданная при установке AD, мы создали новую политику, а затем изменили эту настраиваемую политику. Политика домена по умолчанию НЕ связана, скорее это политика настраиваемого домена. Помимо других параметров, политика личного домена устанавливает политики паролей для домена. Недавно мы изменили настраиваемую политику, установив MinPassowrdLength (MPL) на 16 символов и MaxPasswordAge (MPA) на 180 дней. Эти параметры политики паролей не применяются. Если я изменю какие-либо параметры политики блокировки учетных записей, они изменятся нормально, только параметры политики паролей не изменятся. Я попытался изменить настройки, чтобы увидеть, применяются ли они, а затем проверить политику паролей по умолчанию (через PowerShell Get-ADDefaultDomainPasswordPolicy). Я пробовал следующее (и попытался зафиксировать результаты в прилагаемом изображении):
Я читал о необходимости убедиться, что политика паролей применяется к контроллерам домена в качестве приоритетного объекта групповой политики. Если я выберу подразделение с нашим PDC / DC, оно будет указано первым ПОСЛЕ того, как объекты групповой политики применяются непосредственно к подразделению. Ни один из двух объектов групповой политики, применяемых в этой политике паролей OU, не установлен.
Мы используем контроллеры домена Windows Server 2016 с Active Directory на доменном и функциональном уровне Windows Server 2012 R2.
Я не вижу, где я ошибаюсь, кажется, что настройки, которые не изменятся, были теми, которые мы ранее установили в политике пользовательского домена, но мне явно где-то не хватает чего-то, чтобы это работало правильно. Любая помощь будет оценена.
Поэтому я позвонил в службу поддержки MS, и они попросили меня использовать командлет Set-ADDefaultDomainPasswordPolicy. Я не хотел использовать это раньше, потому что не знал, что добавить в параметр -Identity. Оказывается, я должен использовать наш объект домена (наш xyz.com), и это говорит о том, что он установлен правильно. Одно замечание, которое мы сделали, заключается в том, что параметры возраста не принимают прямое целое число для введенных дней (DD.HH: MM: SS - да, это a. Not a: между DD и HH).