under de senaste 14 åren har jag varit runt om i världen och hjälpt administratörer, revisorer och säkerhetspersonal att förstå hur domänlösenordspolicyn fungerar i Active Directory. Standardbeteendet har inte förändrats under de 14 åren, så du kan föreställa dig hur många personer jag har hjälpt, för att inte tala om hur många gånger jag har talat om det.
så varför nämna det här?, Tja, jag hittar fortfarande administratörer och revisorer som inte förstår hur domänlösenordspolicyn fungerar, så låt mig förklara det nedan.
som standard i varje installation av Active Directory etablerar Standarddomänpolicyn domänlösenordspolicyn (för alla användare som är konfigurerade och lagrade i Active Directory, det vill säga). Figur 1 visar hur dessa konfigurationer ser ut och var du hittar dem i Standarddomänpolicyn.
Figur 1. Standard domän Policy lösenord policy.,
hur lösenordspolicyn fungerar är att den här GPO och inställningarna i den här GPO konfigurerar domänkontrollanterna (DCS) och Active Directory-databaserna som finns på dem. Det är ansvaret för DCs och databaser som finns på dem för att filtrera varje lösenord som försöker skrivas till databasen, för att säkerställa att lösenordet uppfyller inställningarna för lösenordspolicy.
Obs! Genom att använda Grupprincip kan det bara finnas en lösenordspolicy för domänanvändarna., Att länka och konfigurera en GPO till en OU kommer inte att konfigurera lösenordspolicyn annorlunda för användarna i den OU. Inställningar för lösenordspolicy påverkar datorer (se Figur 1) inte användarkonton!
vad du kan göra är att skapa en ny GPO, länka den till domännivån och ge den högre prioritet än Standarddomänpolicyn. Inställningarna i den här nya GPO (till exempel anger du minsta lösenordslängd) åsidosätter inställningarna i Standarddomänpolicyn på grund av det högre prejudikatet. Du anger företräde i verktyget Grupprincip, som du kan se i Figur 2.
Figur 2., Varje GPO kopplad till domänen har ett företräde, jämfört med de andra GPO.
om du vill ha flera lösenordspolicyer på samma domän måste du antingen köpa en tredjepartsprodukt eller använda de finkorniga lösenordspolicyerna. Finkorniga lösenordspolicyer är en Microsoft-teknik för att styra lösenordspolicyer men använd inte grupprincipen som distributionsmekanism.,
för att granska den effektiva domänlösenordspolicyn kan du självklart inte bara titta på Standarddomänpolicyn eftersom en annan GPO som är kopplad till domänen kan ha olika inställningar för lösenordspolicy som finns i den som åsidosätter Standarddomänpolicyn. Så hur verifierar du rätt den effektiva lösenordspolicyn för dina domänanvändare som är lagrade på domänkontrollanter?
svaret är enkelt och ett inbyggt verktyg! Verktyget är secpol.msc och du kan köra detta på någon domänkontrollant från kommandotolken eller Start-knappen | sökprogram och filer rutan., Figur 3 visar hur resultatet skulle se ut.
Figur 3. Secpol.msc visar de faktiska inställningarna för datorn.
genom att använda secpol.msc-verktyg, du kan verifiera med 100% förtroende vad de aktuella lösenordsrincipinställningarna är för dina domänanvändare.
hantera och få rapporter om Active Directory-grupprincipobjekt.
Gratis nedladdning
genomdriva granulära, grupp- / OU-baserade lösenordspolicyer för ANNONSANVÄNDARE.
Gratis nedladdning
spåra ändringar som gjorts i annonsgruppens policyobjekt i realtid.,
Gratis nedladdning