本文介绍如何通过组策略编辑器和活动目录管理器在域控制器上配置统一的密码策略,并针对特定OU设置个性化密码策略。
1、在域控服务器中打开“服务器管理器”,点击右上方“工具”,打开“组策略编辑器”;
2、确定所控制域根目录下的默认策略“Default Domain Policy”设置,可在该策略中配置全域的默认策略:“密码必须符合复杂性要求”、“用可还原的加密来存储密码”、“最短密码长度”、“在此后重置账户锁定计数器”、“账户锁定时间”、“账户锁定阈值”、“提示用户在过期前更改密码”等;
注:若要针对该域下某OU设置其他或不同于默认密码的策略,不可直接在OU下创建组策略,直接创建不会生效。
3、打开AD管理器,选中域根目录,右键,选择“新建”、选择“组”;
4、填写组名“PasswordPolicy”,选择“全局”、“安全组”,“确定”;
5、搜索打开“运行”,输入“ADSIedit.msc”,回车;
6、可能打开后此处无任何连接(无域目录树),如有跳转至第7步,点击上方“操作”、点击“连接到”,选择红框中选项,输入域控地址及端口号,例如:“172.xx.xx.x:389”,其他不修改,点击确定;
7、选中“CN=system”下的“CN=Password Settings Container”,右键“新建”、“对象”,直接“下一步”,后续步骤看下图;
8、点击完成,双击刚创建的“CN=passwordpolicy”,“属性编辑器”下找到“msDS-PSOAppliesTo”,双击,点击“添加Windows账户”,将第4步创建的全局安全组“PasswordPolicy”加入对象中,点击确定(后面都是确定);
9、打开AD管理器,选中全局安全组“PasswordPolicy”,双击,在成员下添加域策略想要应用到的人或组;
10、运行打开cmd,输入“gpupdate /force”更新完成,策略即可应用。
扫一扫
2008
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
