Как исключить пользователя из примененной политики паролей

Question

Как исключить пользователя из примененной политики паролей

Я получил требование об исключении отдельного пользователя из политики паролей компании (по запросу генерального директора).

поэтому я попробовал следующее безуспешно.

Я скопировал настройки пароля домена по умолчанию для нового объекта.
Я включил этот новый объект для аутентифицированных пользователей.
В настройках делегирования пароля домена я добавил конкретного пользователя, а в поле: Применить - я установил его как Запретить * я также должен установить опцию Deny Read?

Я вижу, что когда пользователь входит в систему, gpresult показывает, что применен GP Password Domain, однако он по-прежнему получает те же ограничения, что и остальная часть домена.

Q: Что я делаю не так? -: Как я могу исключить пользователя из политики домена?

Очень ценю

2

windows group-policy domain password exclude

Источник

Saariko 03 ноя '11 в 11:25

1 ответ

Другие вопросы по тегам windows group-policy domain password exclude

sysadmin1138 03 ноя '11 в 11:49 2011-11-03 11:49 · Answer 1 · 2011-11-03 11:49

Windows Active Directory имеет два разных стиля политики паролей:

Тот, который вы задали в Политике домена по умолчанию (или другой объект групповой политики, связанный с корневым объектом домена), который применяется ко всем без исключения (2000-2008r2)
Тонкая политика паролей, которая позволяет вам устанавливать разные политики для разных групп, за исключением (2008-2008r2)

Первый тип довольно сложен для работы из-за пункта "без исключений". Пользователи со специальными снежинками, как и ваши, не могут быть размещены, как и некоторые критически важные пользователи служебных программ (например, пользователи, которые все веб-приложения используют для привязки LDAP). Вот почему были разработаны детальные политики паролей.

FGPG не основаны на GPO, они применяются совершенно по другому механизму. Однако вам нужно быть на функциональном уровне Server 2008, чтобы вообще их использовать. Они могут позволить вам установить единую политику паролей для всех пользователей, кроме специальной группы, и установить совершенно другую политику для этой группы. Или разные политики для каждого из этих специальных пользователей. У него даже есть механизм для обработки перекрытий политик, чтобы определить, какая политика выиграет, когда может быть применено более одного.

Может быть трудно понять стиль политики паролей, применимый к каждому пользователю в Server 2000. Он установлен в одном и только одном месте - объект групповой политики, связанный с корневым объектом домена. Настройки были видны в любом объекте групповой политики, но они ничего не делают, если установлены в политиках, которые не связаны с root.