我在Server 2003上有一个默认域策略,密码和复杂性检查至less需要8个字符。
现在我创build了一个新的OU,并将自己定位在该OU中的用户以及我的计算机中。 然后,我创build了一个新的组策略并将其链接到该OU。 新的GP有最低密码限制为6.我在服务器上运行gpupdate,我的电脑上运行gpresult确实显示了应用到计算机上的策略。
但是,当我尝试更改密码时,密码仍然需要8个最less字符。 我也检查了我的电脑的本地政策,这也改变了6个最小字符。
那么为什么我仍然被要求8?
这是因为AD 2003树中的密码策略是域范围的 。 对于AD 2003,默认域策略中指定的密码策略会胜过其他地方设置的任何密码策略。 如果没有的话,没有人会这样做。 您不能在2003树中的OU级更改策略。
微软公司在2008年推出了“细粒度密码策略”,并且不是由GPO设置的。 这完全是一个不同的系统。
微软在这里有一个体面的文章: http : //technet.microsoft.com/en-us/magazine/2007.12.securitywatch.aspx
从这个网站 –
也就是说,许多pipe理员认为可以为同一个域中的用户提供多个密码策略。 他们认为您可以创build一个GPO并将其链接到组织单位(OU)。 这个想法是将用户帐户移动到OU,以便GPO将影响对象。 在GPO中,帐户策略被修改以创build更安全的密码策略,可能是通过将最大密码长度设置为14个字符。 但是,由于几个原因,这种configuration将永远不会提供预期的结果。 首先,密码策略设置是基于计算机而不是基于用户的策略。 有了这个设置的基础,他们将永远不会影响用户帐户。 其次,修改域用户帐户的帐户策略设置的唯一方法是链接到域的GPO。 链接到OU的GPO被configuration为更改“帐户策略”设置,将修改驻留在OU中或位于链接OU的子OU中的计算机的本地SAM。
长话短说,在Windows 2003域中,只能有一个密码策略。 Windows 2008域引入了允许多个密码策略的细粒度密码策略。
密码策略仅适用于一(1)个地方 – >域策略。