你怎样才能为一个组织单位创build一个GPO?
我想要创build的GPO非常简单,只需设置最小密码长度即可。 鉴于我不希望所有用户具有相同的密码策略,我想将GPO应用于特定OU中的用户。
我试着直接在OU上“在这个域中创build一个GPO,并把它连接到这里”,但是看起来像GPO并没有覆盖默认的GPO。
谢谢。
通过链接到您在组策略pipe理控制台中相应级别/ OU创build的GPO,可以将GPO应用于OU。
但是,这不会为你想要做的。 有关密码策略的GPO只能在域级别设置。 为了将策略应用于域用户的子集,您需要使用精细化密码策略。
这些可以在组级应用,所以您需要确保您希望影响这个新策略的所有用户都是相应组的成员。
要在Windows 2012域中执行此操作,请从安装了RSAT的DC或Windows 8工作站执行以下操作:
从这个angular度来看,这是相当自明的。
如果您在Windows 2008或2008R2上运行,那么您仍然可以使用精细化的密码策略,但是pipe理起来并不容易。 说实话,我在这个级别的build议是考虑升级,但也有一些指导可能在这里certificate是有用的。
如果您的数据中心运行的是Windows的旧版本(或者您正在运行较新的数据中心,但域function级别尚未升级),那么您在这一点上没有任何升级的select。
正规密码策略是特殊的 – 整个域只能有一个。
从Server 2008起,有细粒度密码策略可用于仅为域的特定部分设置密码要求:
http://technet.microsoft.com/en-ca/library/cc770394(v=ws.10).aspx
即使那样,你也不能直接将它们应用到OU。 它们仅适用于用户或组,因此您必须创build一个所有想要申请的人的组。
此页面有一个示例PowerShell脚本,它将作为计划任务运行,并更新组的成员以仅包含OU的成员。 当你从OU中添加/删除人员时,这将使组和OU保持同步。
希望您已经创build了细粒度密码策略,在GPMC控制台中,您必须在要应用GP的OU下创build一个新的GP。 一旦你定义了他的GP,select链接已启用,如果有任何子OU,你可以select“阻止inheritance”。 所以理想情况下,只有OU,你已经申请的GP将链接。 其次,如果您需要多个OU要应用GP,您可以selectOU并将现有GP连接到控制台。