AD管理:密碼原則的例外性
原則結果組顯示用戶端有吃到OU的政策,但是怎麼樣測試都還是可以不遵守密碼複雜性原則,爬了資料才發現密碼政策有那麼一點小例外。
- 優先順序
- 複雜性原則的設定
優先順序
原本的理解是:
網域原則優先於本機原則
一般來說,OU的Policy 優先 於Default Policy,但是因為套用的方式不一樣,密碼原則要設定在Domain root:
- Domain root的Policy會套用到真的Domain Account
- OU的Policy會套用到Domain Account_暫存在Local Computer的Cache_
結論:
- 要在自建GPO中設定密碼原則,Default Domain Policy要清空(未定義)
- Domain root的Default Domain Policy 可能 會被OU的GPO蓋過
gpupdate /force要執行到不再出現需要登出或重開機
複雜性原則的設定
「定義這個原則」有三種選項:
- 未定義:密碼可以複雜,也可以不複雜
- 已啟用:密碼必須符合複雜化
- 已停用:密碼不可以使用複雜化
如果設定為已停用,那密碼還得 不複雜 才行…。.
參考資料:
ithome:”密碼必須符合複雜性需求=停用” 仍然”未達最低複雜度要求”而無法變更密碼?
"Directory" (CC BY 2.0) by Marcin Wichary