預設域策略總是贏嗎?生產域中的不同密碼策略
我一直認為預設域策略會覆蓋其他策略,因為它是最重要的。我也知道擁有 2 個密碼 GPO 是不正確的。擁有不同策略的方法是使用細粒度的密碼策略。
今天在我的公司,我注意到在我們的域中,我在預設域策略中有密碼策略,具有指定的長度和最長密碼期限 90 天)。對於僅包含 FTP 伺服器的另一個 OU,我有另一個密碼複雜性不同且密碼最長期限為 0 天的策略)。
我使用 gpresult 檢查了哪個策略獲勝,而 FTP 伺服器顯示預設域策略沒有獲勝。
我無法測試它。哪種策略真正應用於那些 FTP 伺服器?我一直在閱讀,它必須只是整個域的一項策略。也許這只是一個好的做法,但這樣的政策通常有效嗎?我真的很困惑。
順便提一句。預設域策略也有不同的使用者權限分配,並且它也不會被強製到其他伺服器,其中使用了另一個具有使用者權限分配的策略。
謝謝,蘇
密碼策略設置適用於電腦的本地安全數據庫(安全帳戶管理器)。在域控制器上,該數據庫是 Active Directory 數據庫。在作為成員電腦的本地安全數據庫的成員電腦上。因此,預設域策略 GPO 中定義的密碼策略設置將預設應用於 Active Directory 使用者帳戶和成員電腦上的本地使用者帳戶。
當您將具有不同密碼策略設置的 GPO 應用於域中的電腦帳戶時,就像您將密碼 GPO 連結到 ftp 伺服器 OU 一樣,您將這些密碼策略設置應用於 ftp 伺服器的本地安全數據庫,這意味著這些密碼設置將應用於這些伺服器的本地安全數據庫中的使用者,並將影響 ftp 伺服器上的本地使用者帳戶。
您將 GPO 視為獲勝的 GPO,因為它實際上已應用於這些伺服器,但同樣,它適用於這些伺服器的本地安全數據庫,並且僅影響這些伺服器上的本地使用者帳戶。它不影響域使用者帳戶。
當您閱讀“域中只能有一個密碼策略”時,您應該閱讀的是“域中的域使用者帳戶只能有一個密碼策略”。您可以將不同的密碼策略設置應用於成員電腦,但這些設置只會影響這些電腦上的本地使用者帳戶。
請注意,此答案不涉及 FGPP。在您的情況下,此答案解決了您的問題和您的擔憂。