0

我的帖子

个人中心

设置

  发新话题
在AD中,密码策略属于比较特殊的策略,必须通过域级别的GPO来设置才有效,这样下来,域中的所有计算机账户都会应用此策略,最近公司需要全员更改成符合复杂度的密码,但是并不想在一些服务器上和一些公用账号上去生效这个密码策略,请问下大家,有什么方法可以排除呢?

公司出于安全考虑,要求员工3个月更改一次密码,并且密码开启了复杂度要求,输错密码5次的话会进行锁定,15分钟后才解锁。
但是域管理员账号和一些公用账号并不想3个月就更改一次密码,在Default Domain Policy策略里开启了密码策略,因为密码策略只有在域级别的GPO才能生效的,所以AD内所有账户都应用到这个密码策略了。

那么是如何将一些AD账号进行排除的呢,通过寻找资料,虚拟机验证,得出使用颗粒化密码策略(PSO)可以将一些特定的账户排除在密码策略外,
这里是使用方法:http://blog.51cto.com/andygao/334051
使用PSO的条件必须是域级别要达到Windows Server 2008,创建了一个PSO后,里面设置了密码永不过期,然后可以添加用户或者全局安全组来应用,这样,颗粒化密码策略的优先级要高于密码策略,那么我只要将需要排除的账户添加进这个PSO种就可以了。

还有一种方法,就是在用户属性上勾选,密码永不过期的选项,密码策略的优先级从高到低排列如下:
1、AD用户和计算机上的用户属性里的“永不过期”
2、颗粒化密码策略里的设置
3、组策略上的密码策略设置

我是选用在用户属性上勾选密码永不过期这种方法来排除的,如果你对密码策略还需要一些别的设置,就需要用到PSO来设置了。





本帖最后由 盛下的果实 于 2018-1-9 15:44 编辑
首先密码策略是针对用户级别的,所以服务器你不用管,如果想排除部分账户。需要将这些用户移动到一个单独的OU.然后在这个OU上启用一个简单的密码策略,或者将这些用户加入一个组,然后通过颗粒化密码策略实现。



引用:
原帖由 稻的芳香 于 2018-1-7 08:43 发表
首先密码策略是针对用户级别的,所以服务器你不用管,如果想排除部分账户。需要将这些用户移动到一个单独的OU.然后在这个OU上启用一个简单的密码策略,或者将这些用户加入一个组,然后通过颗粒化密码策略实现。 ...
感谢你的回复,如果我想一些想排除的用户,拉到一个OU中,在OU上启用简单的密码策略,你说的这个简单的密码策略是在哪里设置呢?照我所知,AD组策略的密码策略,只有域级别的GPO才能生效。
颗粒化密码策略可以针对组来发布是吗,这些疑问想咨询下,非常感谢!



在域控上能限制某一台pc的密码策略,问这个问题感觉你学艺不精




引用:
原帖由 zklb 于 2018-1-8 01:54 发表
在域控上能限制某一台pc的密码策略,问这个问题感觉你学艺不精

论坛正式讨论提问的地方,如果你有什么高见,请说出你的见解!!!



顶一下,分享给需要的小伙伴!



两个ou两个gpo







Microsoft Office Servers and Services MVP
点击此处进入我的博客
QQ交流群:747369693
问题解决与否,欢迎大家反馈一下,也是对回答者认可&肯定,谢谢!
工作地址:柬埔寨王国度假村(正规合法牌照)
   不是中介,不收取任何费用

  一.岗位:人事一名,
新人两个月试用期,每月工资6000,试用期每月要求招4~5个人。
两个月达标工资直接升至8000,往后每月递增500,封顶10000+抽成无封顶的
工作时间10个小时有经验者优先!
  二.岗位:推广30名
线上回答客户的咨询和需求,解答相关问题,并处理简单的财务,无色盲;正规
任职资格:
1. 年龄:18-32周岁男女不限,计算机、财会、市场营销专业最佳;
2. 学历:中专以上, 部分初中学历有过工作经验者既可面试;
3. 技能:能熟练的操作电脑及办公室软件;
4. 打字速度在每分钟40字以上即可;
5. 打算在柬稳定工作,且能尽快到岗,服从分配。
6. 工作时间:10小时  推广【岗位无夜班】早上10.00-12.00 中午15.00-18.00  晚上19.00-0.00准备资料(简历一份 )
  三、薪资待遇:
1.员工在试用期内(试用期一个月)的基本工资为5000RMB,员工转正后基本工资6000元RMB,每个月递增500元RMB+业绩抽成无封顶,第一年底薪8000元RMB封顶,第二年底薪8000元开始每个月递增500RMB至10000封顶。第三年底薪从10000元开始每个月递增500到15000封顶。
2.如试用期内未通过测试则公司提供返程机票或者延长试用期时间,试用期期间如果是个人原因被开除(机票、签证、临时工作签)等费用都需个人承担。
3.每月休息两天,两天不休息上班的补贴加班费2天补贴500元人民
4.免费提供宿舍,及生活日常用品。免费提供早餐、午餐、晚餐和宵夜。不定期提供水果饮料等防暑降温食品。
5.每个月举行两次员工聚会、聚餐等活动。
6.公司员工一年享有2次带薪休假、每次半个月,员工可以申请回家回家探亲访友。
7.工作三个月以后每个月享受机票补贴100美金,
8.职务津贴、进步奖金,优秀奖金,生日***100美金,
9.好好干升值空间都很大的,组长,主管,拿工资不得了的,你当过就知道了。
10.零费用,圆你出国梦,比其他国家手续简单,收入可观,两年综合收入25万-50万,是年轻人的理想工作地方。
12.报销机票签证:首次来柬的员工报销机票、签证费用,有专车、专人机场接送,
13.员工入职:统一签订入职合同,公司会给员工办理工签及劳工证。
有意者请联系QQ:2077268059  李经理   中介高返佣欢迎骚扰



引用:
原帖由 z15858167 于 2018-1-9 22:04 发表
两个ou两个gpo

AD密码策略只有在域级别的GPO里才能生效的,所以无法照你说的去设置。



引用:
原帖由 盛下的果实 于 2018-1-10 13:44 发表

AD密码策略只有在域级别的GPO里才能生效的,所以无法照你说的去设置。
首先  Default Domain Policy  这个策略很少有人在里面改动。要什么策略直接新增
把你不想改的电脑 和用户 拖进一个OU强制阻止应用上层GPO



不要在默认策略上去做密码策略啊,你可以将域默认策略里关于密码安全的设置清空,另外新建两条以上不同的密码安全策略应用到相对应的OU上面就行了吧



引用:
原帖由 盛下的果实 于 2018-1-7 22:03 发表

感谢你的回复,如果我想一些想排除的用户,拉到一个OU中,在OU上启用简单的密码策略,你说的这个简单的密码策略是在哪里设置呢?照我所知,AD组策略的密码策略,只有域级别的GPO才能生效。
颗粒化密码策略可以针对组来发布是吗,这 ...
在计算机策略里面——安全设置——账户策略——密码策略里面设置



引用:
原帖由 盛下的果实 于 2018-1-7 22:03 发表

感谢你的回复,如果我想一些想排除的用户,拉到一个OU中,在OU上启用简单的密码策略,你说的这个简单的密码策略是在哪里设置呢?照我所知,AD组策略的密码策略,只有域级别的GPO才能生效。
颗粒化密码策略可以针对组来发布是吗,这 ...
忘记说了,应该是将计算机分OU,将策略应用到计算机的OU上,不是应用在用户上



‹‹ 上一贴:求助域分发软件报错   |   下一贴:一个公网IP 如何搭建多个网站 图解 ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2018 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com