Kip Asked: 2009-10-02 07:39:24 +0800 CST2009-10-02 07:39:24 +0800 CST 2009-10-02 07:39:24 +0800 CST 阻止 AD 中特定 OU 的密码策略(到期) 772 情况是这样的: 我需要在我的 AD 环境中有一个特定的容器来阻止密码过期策略,但接受所有其他策略。这是否可以通过简单地在子 ou 级别添加 GPO 来工作(有问题的 ou 是 ou 的子级,其中设置了 GPO,包括密码内容)。 这些帐户(和这个 ou)已经存在,并且将应用默认域策略以及其他策略,并且它们应该继续根据这些 GPO 接收策略设置,但密码过期除外。 我们已经尝试了密码不会过期复选框,但这似乎没有奏效。 提前致谢。 基普 active-directory 2 个回答 Voted Best Answer Evan Anderson 2009-10-02T08:36:00+08:002009-10-02T08:36:00+08:00 您没有提及您使用的是 Windows 2003 Active Directory 还是 Windows 2008 Active Directory。 在 Windows 2003 Active Directory 中,所有域用户帐户都受制于应用在域根目录的 GPO 生成的帐户策略。您不能拥有一些具有不同密码策略(到期、长度、锁定设置等)的帐户。(非域控制器计算机上的本地用户帐户可以有不同的密码策略,但域用户都属于相同的域密码策略)。 在 Windows 2008 Active Directory 中,当设置为 Windows 2008 功能级别时,您可以拥有“细化”密码策略。不过,微软并没有通过组策略实现这一点。相反,使用了一种新类型的 Active Directory 对象。这里有一篇文章 re:细粒度密码策略让你开始,如果你可以使用它们: http ://technet.microsoft.com/en-us/library/cc770394(WS.10).aspx 如果您卡在 Windows 2003 Active Directory 中,为部分用户设置不同密码策略的唯一方法是创建另一个域并将帐户放入该域中。 Zoredache 2009-10-02T08:32:19+08:002009-10-02T08:32:19+08:00 您正在运行什么版本的 Windows 服务器?如果您没有 2008 或您的域不在 2008 功能级别,则根本不可能。 这是一篇关于细粒度密码策略的文章。
您没有提及您使用的是 Windows 2003 Active Directory 还是 Windows 2008 Active Directory。
在 Windows 2003 Active Directory 中,所有域用户帐户都受制于应用在域根目录的 GPO 生成的帐户策略。您不能拥有一些具有不同密码策略(到期、长度、锁定设置等)的帐户。(非域控制器计算机上的本地用户帐户可以有不同的密码策略,但域用户都属于相同的域密码策略)。
在 Windows 2008 Active Directory 中,当设置为 Windows 2008 功能级别时,您可以拥有“细化”密码策略。不过,微软并没有通过组策略实现这一点。相反,使用了一种新类型的 Active Directory 对象。这里有一篇文章 re:细粒度密码策略让你开始,如果你可以使用它们: http ://technet.microsoft.com/en-us/library/cc770394(WS.10).aspx
如果您卡在 Windows 2003 Active Directory 中,为部分用户设置不同密码策略的唯一方法是创建另一个域并将帐户放入该域中。
您正在运行什么版本的 Windows 服务器?如果您没有 2008 或您的域不在 2008 功能级别,则根本不可能。
这是一篇关于细粒度密码策略的文章。