Group-Policy

無法更改 Azure VM 上的密碼策略(已加入域服務域)

  • July 27, 2018

我們有一個使用 AAD DS 作為域的 Azure VM (Windows Server 2012 R2)。我在域中有一個 O365 帳戶(用於最初將 VM 加入域)和機器上的本地管理員帳戶。

我無法使用任一帳戶修改密碼策略。(GPO > 電腦配置 > Windows 設置 > 安全設置 > 帳戶策略 > 密碼策略 > 密碼最長使用期限)

GP 的密碼策略部分有小鎖圖示。

在哪裡/如何更改這些設置?在 AAD DS 的 Azure 門戶中似乎沒有編輯組策略的位置。有沒有辦法解鎖這些設置?

我無法使用任一帳戶修改密碼策略。

您需要屬於您目錄中AAD DC 管理員組的使用者帳戶的憑據,才能管理您的託管域的組策略。您可以在託管域 VM 上安裝 AD 管理工具。

  1. 打開伺服器管理器。點擊添加角色和功能。
  2. 在功能頁面上,點擊展開遠端伺服器管理工具節點,然後點擊展開角色管理工具節點。從角色管理工具列表中選擇AD DS 和 AD LDS 工具功能。
  3. 完成安裝。

然後你會發現兩個容器分別叫做AADDC ComputersAADDC Users。在AADDC 使用者容器中,您將看到AAD DC 管理員組

有關更多詳細資訊:管理 Azure Active Directory 域服務託管域

在哪裡/如何更改這些設置?在 AAD DS 的 Azure 門戶中似乎沒有編輯組策略的位置。有沒有辦法解鎖這些設置?

您需要在虛擬機上安裝組策略工具。

  • 啟動伺服器管理器,在功能頁面上,選擇組策略管理功能。然後完成安裝。
  • 點擊組策略管理以啟動組策略管理控制台。查找託管域的組策略。
  • 右鍵點擊 GPO,然後點擊編輯…以自定義內置 GPO。組策略配置編輯器工具使您能夠自定義 GPO。

您現在可以使用組策略管理編輯器控制台來編輯內置 GPO。

有關更多詳細資訊:在 Azure AD 域服務託管域上管理組策略

引用自:https://serverfault.com/questions/923737