Active-Directory
可逆加密 - 未定義但顯示為已啟用?
我正在審查我們由前任管理員設置的複雜密碼策略,並試圖澄清可逆加密的設置。在我們的組織中,不需要可逆加密,應該禁用它。當我查看現有的 GPO 時,我可以看到設置:
使用可逆加密儲存密碼:未定義
我的理解是,如果將其設置為“未定義”,則預設值設置為已禁用,但也許我對此不正確。當我在我的系統上執行 rsop 時,它反映了未定義狀態。
我有點困惑的地方是當我執行 PS cmdlet Get-ADDefaultDomainPasswordPolicy; 我看到 ReversibleEncryptionEnabled 屬性設置為 True。
根據我的密碼策略 GPO 的配置方式,這不應該反映已禁用嗎?
這意味著該設置曾一度啟用,然後更改為未配置。
您需要將設置更改為已禁用才能恢復。
您可能還想啟用該設置:
管理模板 > 系統 > 組策略安全策略處理:即使組策略對象未更改也進行處理
如果要確保一致地應用設置,請對系統資料庫策略處理執行相同的操作。