在WindowsServer2019中配置多元密码策略
长久以来,微软活动⽬录中的账户只能配置同⼀个密码策略。上到管理员账户,下到普通⽤户的密码策略都是⼀样的。⽽且密码策略只能在域级别配置⽣效。OU级别的密码策略只会对该OU中计算机的本地账户⽣效。通常认为,管理员的账户密码策略应该更为严格和复杂,⽽普通⽤户的账户密码策略相对来说并没有那么重要。终于在Windows Server 2008的时候微软引⼊了多元密码策略Fine-Grained Password Policies(FGPP)来使得密码策略配置更为灵活有效。不过在刚推出的时候FGPP的配置需要依赖于adsiedt这个⼯具,并没有直观的配置界⾯。从2012开始就有更⼈性化的配置⽅法了。
配置FGPP的先决条件还是⼀样的,域功能级别必须在Windows 2008及以上。我们可以使⽤Active Directory Administrative Center(ADAC)很容易的来配置FGPP。在域名下到System--Password Settings Container。如果看不到图,。
在中间空⽩部分新建⼀条密码设置。
所有的设置和传统组策略⾥配置的都⼀样,并没有更多的项⽬。然后再添加⽤户或者组之后点击确定。这条FGPP就算配置完了。FGPP可以应⽤于⽤户也可以应⽤于安全组。
如果有多条FGPP应⽤于⽤户或者组,优先级是这样的。
1.应⽤于⽤户的FGPP
2.应⽤于安全组的FGPP
3.域级别的组策略。
同⼀应⽤顺序中有多条FGPP的,优先级Precedence⼩的⽣效。有多条FGPP具有相同优先级Precedence的,FGPP的GUID⼩的⽣效。
如果需要确定哪个FGPP对⽤户⽣效,可以查看⽤户属性中的msDS-ResultantPSO这个属性。需要注意的是,需要在ADUC中开启⾼级功能,并直接点到⽤户(查出来的结果不⾏)才能看到attribute editor这个选项卡。然后要选中右下⾓Filter中的Constructed才能看到msDS-ResultantPSO这个属性,其中写了⽣效的PSO的具体DN。windows server 2012激活

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。