Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the wp-plugin-bluehost domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /home1/diywmcom/public_html/baifaqimei/wp-includes/functions.php on line 6114

Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the wp-pagenavi domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /home1/diywmcom/public_html/baifaqimei/wp-includes/functions.php on line 6114

Deprecated: Creation of dynamic property Kirki\Field\Repeater::$compiler is deprecated in /home1/diywmcom/public_html/baifaqimei/wp-content/themes/blogstream/functions/kirki/kirki-packages/compatibility/src/Field.php on line 305
Windows组策略相关 – 白发齐眉

Windows组策略相关

近来和同事谈起组策略的相关东西,咨询了相关MVP之后,得到如下的结论

一般来说策略的应用次序如下:
本地-站点-域-ou
如果存在冲突,后执行的覆盖前面执行的,关于组策略执行次序请参考[quote]http://gnaw0725.blogbus.com/logs/10792663.html
组策略执行顺序优先级|到底哪个组策略最终生效

组策略执行顺序优先级|到底哪个组策略最终生效?请问,default domain policy 和 default domain controllers policy的关系是怎样的,谁优先?我要实现的是,WSUS对于AD服务器和其他的计算机不同的策略。其他机器在default domain policy中设置了,而AD在default domain controllers policy中设置了不同的策略。这样会有怎样的结果?

回答:根据您的描述,我对这个问题的理解是:您想了解组策略应用方面的信息。如果我的理解有误,请告诉我。

组策略的应用次序是本地->站点->域->OU,如果策略有冲突,则后应用的生效。因为Default Domain Controller policy是OU策略,所以它会覆盖Default Domain Policy的设定,最终生效的是OU上的策略。

[/quote]

但密码策略是个比较特殊的策略,本地策略仅影响本地账户,只有域策略才能影响域账户,

关于密码策略的问题请参考

[quote]

http://gnaw0725.blogbus.com/logs/5823149.html
密码不符合系统密码复杂性策略

密码不符合系统密码复杂性策略:密码策略一直是活动目录策略中比较特殊的一个策略,也是很多刚接触AD的朋友们经常遇到的问题。系统可能会提示“密码不符合系统密码复杂性策略”。这种情形无论是在域控制器上管理员更改用户账户密码,还是在客户端上用户更改自己的密码,都可能遇到。为了正确解决这个问题,就需要我们对密码复杂性有所了解,所谓密码复杂性,是指:

• 密码必须至少包含 6 个字符。
• 密码不能包含您的用户名或您的全名的任何部分。
• 密码必须至少包含下列四类字符中的三类: 说明 示例
英文大写字母 A, B, C, …Z
英文小写字母 a, b, c, … z
西方阿拉伯数字 0, 1, 2, … 9
非字母数字(“特殊字符”) 标点和其他符号

密码复杂性的要求,被硬编码在 Passfilt.dll 文件中,且不能通过用户界面或注册表进行更改。关于此问题请参考 http://support.microsoft.com/kb/279890/zh-cn
一般情况下,微软不推荐大家禁止密码复杂性,这样会降低活动目录乃至整个基础架构的安全性。那么大家该用什么样的密码,才符合密码复杂性呢?其实也很简单,例如 Password! WindowITPro99 等等。但需要把握的一个原则是,不能太复杂,否则用户可能会把密码写在纸片上,放在桌子上,那就适得其反了。
关于如何在组织中强制使用强密码,请参考 http://www.microsoft.com/china/technet/security/sgk/enforce_strong_passwords.mspx
关于密码策略更为详细的介绍,请参考 http://www.microsoft.com/china/technet/security/guidance/secmod49.mspx#EDAA
需要提到的几点:
1、由于密码策略属于域策略,故而一般情况下,是修改Default domain policy。如果修改某个OU的密码策略,那么仅仅会影响该ou下的计算机本地账户,而不会影响到任何域账户。
2、如果在设置域密码策略之前,在用户账户属性中设置了相关的密码选项,那么最终以用户账户属性为准。
3、由于密码策略属于计算机策略,那么更改密码策略后,您可能需要重新启动所有域控制器,才会立刻产生效果。
4、由于密码策略属于计算机策略,那么更改密码策略后,您可能需要重新启动客户端计算机,才会立刻产生效果。
5、和众多写入注册表的策略一样,如果您想禁用密码复杂性,简单的将密码复杂性策略项设置为“未定义”是无效的,必须设置为一个确定的状态,即“禁止”。

[/quote]