可逆加密 - 未定義但顯示為已啟用？

我正在審查我們由前任管理員設置的複雜密碼策略，並試圖澄清可逆加密的設置。在我們的組織中，不需要可逆加密，應該禁用它。當我查看現有的 GPO 時，我可以看到設置：

使用可逆加密儲存密碼：未定義

我的理解是，如果將其設置為“未定義”，則預設值設置為已禁用，但也許我對此不正確。當我在我的系統上執行 rsop 時，它反映了未定義狀態。

我有點困惑的地方是當我執行 PS cmdlet Get-ADDefaultDomainPasswordPolicy; 我看到 ReversibleEncryptionEnabled 屬性設置為 True。

根據我的密碼策略 GPO 的配置方式，這不應該反映已禁用嗎？

這意味著該設置曾一度啟用，然後更改為未配置。

您需要將設置更改為已禁用才能恢復。

您可能還想啟用該設置：

管理模板 > 系統 > 組策略安全策略處理：即使組策略對象未更改也進行處理

如果要確保一致地應用設置，請對系統資料庫策略處理執行相同的操作。

引用自：https://serverfault.com/questions/702921