Как создать объект групповой политики только для одной организационной единицы?
Объект групповой политики, который я хочу создать, довольно прост, он просто устанавливает минимальную длину пароля. Учитывая, что я не хочу, чтобы у всех пользователей была одна и та же политика паролей, я хочу применить GPO только к пользователям, которые находятся внутри определенного подразделения.
Я пробовал «Создать объект групповой политики в этом домене и связать его здесь» непосредственно в подразделении, но похоже, что этот объект групповой политики не отменяет значение по умолчанию.
Спасибо.
Вы применяете GPO к OU, просто связываясь с GPO, созданным на соответствующем уровне / OU в Консоли управления групповой политикой.
Однако это не сработает для того, что вы пытаетесь сделать. Объекты групповой политики, относящиеся к политикам паролей, могут быть установлены только на уровне домена. Чтобы применить политику к подмножеству пользователей домена, вам необходимо использовать детальные политики паролей.
Их можно применять на уровне группы, поэтому вам необходимо убедиться, что все пользователи, на которых вы хотите повлиять с помощью этой новой политики, являются членами соответствующей группы.
Чтобы сделать это в домене Windows 2012, выполните следующие действия на рабочей станции DC или Windows 8 с установленным RSAT:
Это довольно очевидно.
Если вы работаете в Windows 2008 или 2008R2, вы все равно можете использовать детальные политики паролей, но управлять ими не так просто. Честно говоря, на этом уровне я бы посоветовал подумать об обновлении, но есть некоторые гиды вокруг это может оказаться полезным и здесь.
Если ваши контроллеры домена работают под управлением более старой версии Windows (или вы используете новые контроллеры домена, но функциональный уровень домена не был обновлен), тогда у вас нет выбора об обновлении на этом этапе.
Обычная политика паролей особенная - может быть только один для всего домена.
Начиная с Server 2008, существуют детальные политики паролей, которые можно использовать для установки требований к паролю только для определенных частей домена:
http://technet.microsoft.com/en-ca/library/cc770394(v=ws.10).aspx
Даже в этом случае вы не можете напрямую применить их к OU. Они применяются только к пользователям или группам, поэтому вам нужно создать группу со всеми людьми, к которым вы хотите применить.
Эта страница содержит пример сценария PowerShell, который будет запускаться как запланированная задача и обновлять членов группы, чтобы они включали только членов подразделения. Это позволит синхронизировать группу и OU при добавлении / удалении людей из OU.
Надеясь, что вы создали детальную политику паролей, в консоли GPMC вы должны создать новый GP под OU, где вы хотите применить GP. После того, как вы определили GP, выберите Link Enabled, если есть какие-либо Sub-OU, вы можете выбрать «Block Inheritance». Так что в идеале будет привязано только подразделение, к которому вы применили GP. Во-вторых, если вы хотите, чтобы к GP было применено несколько OU, вы можете выбрать OU и связать существующий GP с консоли.