Active Directory中的密码策略 – 无效的情况下禁用复杂性
在我的Samba活动目录域中,我想允许长的密码(密码短语),并且仅基于小型大写字母和特殊字符,即不需要大写字母和数字。
为此,我为已validation的用户创build了一个新的域GPO,我禁用了复杂性检查( Password must meet password complexity requirement ),而将最小密码长度增加到10。
我跑了gpupdate ,以确保该政策分发给我坐在电脑上。 不幸的是,这没有预期的效果,我仍然得到错误消息,我的新密码是不符合密码政策。
使用gpresult /v快速检查可以发现以下信息:
- 解决Windows ADFS问题的步骤
- 如何将组计算机或用户添加到组策略pipe理控制台(GPMC.msc)中的OU
- AD中每个客户的Alogging是否必要?
- 批量编辑userPrincipalName
- 活动目录 – 为整个组设置密码
Account Policies ---------------- GPO: Default Domain Policy Policy: MaximumPasswordAge Computer Setting: 180 GPO: Default Domain Policy Policy: MinimumPasswordAge Computer Setting: 15 GPO: Default Domain Policy Policy: MinimumPasswordLength Computer Setting: 10 Security Options ---------------- GPO: Default Domain Policy Policy: PasswordComplexity Computer Setting: Not Enabled
什么地方出了错?
更新:由于一些评论者build议我应该通过默认政策来做到这一点。 结果仍然完全相同。 我附上政策的截图,以避免任何疑问。
这里是本地安全策略的屏幕截图,它确认GPO确实被应用。 它看起来不错,但我仍然可以为域用户创build8位密码,并且必须包含大写字母和数字。
好的,这让我完全不知所措。 尽pipe通常可以完全configurationSamba Active Directory域,而不会使用RSAT发生任何问题,但似乎密码策略是这些不起作用的less数事情之一,或者至less不是完整的。 解决scheme是直接在Samba服务器上closures复杂性,使用
# samba-tool domain passwordsettings set --complexity=off
我最初并没有声明我在使用Samba,所以其他答案和注释完全适用于仅Microsoft域。 我将适应我的问题来反映使用Samba。
澄清更新:正如Joe指出的那样,密码设置的GPO应用于域控制器本身,而不是像普通GPO那样的客户端。 这就是为什么这个GPO不能在Samba DC上生效的原因。 Samba只能为GPO服务,而不能将其应用于自身。
忽略FGPP,只能有一个域密码策略。 这是在默认域策略GPO中默认定义的。 如果要使用不同的密码策略GPO,则需要将其链接到域,并给它比默认域策略GPO更高的优先级。 我怀疑这是你的问题所在。
编辑:
需要理解的是,密码策略会影响本地安全帐户数据库。 这意味着当您查看成员计算机上的设置时,您正在查看应用于该成员计算机上的本地安全帐户数据库的设置,并且会影响该成员计算机上的本地用户帐户。 对于Active Directory用户, 本地安全帐户数据库是Active Directory数据库,存储在域控制器上。 如果您想查看该域的密码策略,则需要针对域控制器运行组策略结果向导,而不是针对成员计算机。 运行并发布你的结果在你的问题。