Windows Server 2003。
我需要我的主机在属于其域的计算机上更改密码策略(必需的密码长度)。 我只需要将更改应用于计算机帐户。
他们声称这是不可能的,而不会影响整个域名。 我知道这是可能的,因为我已经在其他主机上完成了。
有什么步骤来做到这一点?
从他们的观点来看,这是可能的,但可能是不切实际的。 或者也许他们无能为力。
我假设他们的域范围策略已应用于默认域策略GPO或链接到域的其他GPO。 至less从他们的angular度来看,问题是这将覆盖您或他们在您的计算机的本地策略上定义的任何本地策略。
组策略对象按以下顺序处理:
每个连续的策略设置都会覆盖之前应用的冲突的设置,即密码长度的本地策略等将永远是不相关的,因为域策略是在本地策略之后应用的,因此会覆盖它。
如果他们愿意将自己的机器放入自己的OU中,然后创build一个包含所需密码策略的新GPO,您可以获得所需的唯一方法。 此GPO将链接到包含您的计算机的OU。
有关更多详细信息,请参阅此 TechNet文章。
在不影响整个域的情况下,不能设置用户密码策略,但某些计算机密码策略设置也可在“计算机configuration”下find Windows设置| 安全设置| 本地政策| 安全选项。 我从来没有真正需要改变这些,所以我不能确认或否认他们可以在OU(甚至是本地)级别进行更改,但是我猜测你的主机可能会混淆两者。
如果用户是域帐户,则在域级别GPO中设置的策略将适用,并且不会例外。 (在Windows 2008中,这个更改使用新的密码设置对象)
如果您想在某些服务器上更改本地帐户的密码策略,则可以。
在我们的情况下,我们要求在服务器上创build的所有本地帐户都应该有15个字符的密码(以阻止AD存储LM哈希),而所有的域帐户都有10个字符的密码。
您可以使用创build具有适当的密码策略更改的组策略,并将其链接到所有机器帐户所在的OU来执行此操作。