InformationManagement / 2021/1/13
AD管理:密碼原則的例外性
Active Directory 密碼複雜性原則的套用層級、優先順序與常見誤解。
原則結果組顯示用戶端有吃到 OU 的政策,但是怎麼樣測試都還是可以不遵守密碼複雜性原則,爬了資料才發現密碼政策有那麼一點小例外。
優先順序
原本的理解是:網域原則優先於本機原則。
一般來說,OU 的 Policy 優先於 Default Policy,但是因為套用的方式不一樣,密碼原則要設定在 Domain root:
- Domain root 的 Policy 會套用到真正的 Domain Account
- OU 的 Policy 會套用到 Domain Account 暫存在 Local Computer 的 Cache
結論
- 要在自建 GPO 中設定密碼原則,Default Domain Policy 要清空(未定義)
- Domain root 的 Default Domain Policy 可能會被 OU 的 GPO 蓋過
gpupdate /force要執行到不再出現需要登出或重開機
複雜性原則的設定
「定義這個原則」有三種選項:
- 未定義:密碼可以複雜,也可以不複雜
- 已啟用:密碼必須符合複雜化
- 已停用:密碼不可以使用複雜化
如果設定為已停用,那密碼還得不複雜才行。
參考資料:
圖片來源:Directory(CC BY 2.0),Marcin Wichary。