近来和同事谈起组策略的相关东西,咨询了相关MVP之后,得到如下的结论
一般来说策略的应用次序如下:
本地-站点-域-ou
如果存在冲突,后执行的覆盖前面执行的,关于组策略执行次序请参考[quote]http://gnaw0725.blogbus.com/logs/10792663.html
组策略执行顺序优先级|到底哪个组策略最终生效
组策略执行顺序优先级|到底哪个组策略最终生效?请问,default domain policy 和 default domain controllers policy的关系是怎样的,谁优先?我要实现的是,WSUS对于AD服务器和其他的计算机不同的策略。其他机器在default domain policy中设置了,而AD在default domain controllers policy中设置了不同的策略。这样会有怎样的结果?
回答:根据您的描述,我对这个问题的理解是:您想了解组策略应用方面的信息。如果我的理解有误,请告诉我。
组策略的应用次序是本地->站点->域->OU,如果策略有冲突,则后应用的生效。因为Default Domain Controller policy是OU策略,所以它会覆盖Default Domain Policy的设定,最终生效的是OU上的策略。
[/quote]
但密码策略是个比较特殊的策略,本地策略仅影响本地账户,只有域策略才能影响域账户,
关于密码策略的问题请参考
[quote]
http://gnaw0725.blogbus.com/logs/5823149.html
密码不符合系统密码复杂性策略
密码不符合系统密码复杂性策略:密码策略一直是活动目录策略中比较特殊的一个策略,也是很多刚接触AD的朋友们经常遇到的问题。系统可能会提示“密码不符合系统密码复杂性策略”。这种情形无论是在域控制器上管理员更改用户账户密码,还是在客户端上用户更改自己的密码,都可能遇到。为了正确解决这个问题,就需要我们对密码复杂性有所了解,所谓密码复杂性,是指:
• 密码必须至少包含 6 个字符。
• 密码不能包含您的用户名或您的全名的任何部分。
• 密码必须至少包含下列四类字符中的三类: 说明 示例
英文大写字母 A, B, C, …Z
英文小写字母 a, b, c, … z
西方阿拉伯数字 0, 1, 2, … 9
非字母数字(“特殊字符”) 标点和其他符号
密码复杂性的要求,被硬编码在 Passfilt.dll 文件中,且不能通过用户界面或注册表进行更改。关于此问题请参考 http://support.microsoft.com/kb/279890/zh-cn
一般情况下,微软不推荐大家禁止密码复杂性,这样会降低活动目录乃至整个基础架构的安全性。那么大家该用什么样的密码,才符合密码复杂性呢?其实也很简单,例如 Password! WindowITPro99 等等。但需要把握的一个原则是,不能太复杂,否则用户可能会把密码写在纸片上,放在桌子上,那就适得其反了。
关于如何在组织中强制使用强密码,请参考 http://www.microsoft.com/china/technet/security/sgk/enforce_strong_passwords.mspx
关于密码策略更为详细的介绍,请参考 http://www.microsoft.com/china/technet/security/guidance/secmod49.mspx#EDAA
需要提到的几点:
1、由于密码策略属于域策略,故而一般情况下,是修改Default domain policy。如果修改某个OU的密码策略,那么仅仅会影响该ou下的计算机本地账户,而不会影响到任何域账户。
2、如果在设置域密码策略之前,在用户账户属性中设置了相关的密码选项,那么最终以用户账户属性为准。
3、由于密码策略属于计算机策略,那么更改密码策略后,您可能需要重新启动所有域控制器,才会立刻产生效果。
4、由于密码策略属于计算机策略,那么更改密码策略后,您可能需要重新启动客户端计算机,才会立刻产生效果。
5、和众多写入注册表的策略一样,如果您想禁用密码复杂性,简单的将密码复杂性策略项设置为“未定义”是无效的,必须设置为一个确定的状态,即“禁止”。
[/quote]
近期评论