欢迎来到天天文库
浏览记录
ID:10000294
大小:318.26 KB
页数:8页
时间:2018-05-20
《windows 2008 r2 ad密码策略》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、windows2008r2AD密码策略新装了一台windows2008r2升為AD。发现密码策略是灰色的,查看域安全策略及域default策略,都是没有定义!!在域控制器上,执行本地策略,发现都是灰色不可修改状,没法设置?这是为何??组策略分为两种:本地组策略和域组策略。本地组策略本地组策略是指应用于本机,且设定后只会在本机起作用的策略,运行的方法为点开始–运行–然后键入gpedit.msc,在弹出本地组策略编辑器中即可进行设置。域组策略域组策略是指应用于站点,域或者组织单元(OUs)的策略,它的最终作用对象通常是多个用户或者计算机,可以在DC上点开始–运行–然后键入gpmc.msc来运行
2、。针对您的问题,密码策略是属于域级别的策略,必须在默认域策略或链接到根域的新策略中定义。所以虽然您可以在Defaultdomaincontrollerpolicy中定义密码策略,但是因为Defaultdomaincontrollerpolicy只应用到了domaincontrollers而不是整个域,所以在Defaultdomaincontrollerpolicy中定义密码策略是无效的。另外由于域组策略的优先级高于本地组策略的优先级,在域密码策略应用并生效后,所有已经加入域的电脑(包括DC)的本地策略中,密码相关设置都会变成灰色不可修改状态。因为当一台服务器被提升为域控制器后,本地策略不再
3、有效,取而代之的是默认域策略。当我们点击开始–运行–然后键入gpedit.msc回车后,本地策略编辑器就会被打开。而由于域组策略的优先级高于本地组策略的优先级,所有在域组策略中已经设定过的策略都将变为灰色不可修改状态(比如密码策略)。如果您要修改密码策略,您可以使用以下方法:1.点击开始–运行–然后键入gpmc.msc,回车后打开“组策略管理”控制台。2.展开到“域->Domain.com->组策略对象(Domain.com是指您的域名)”。3.右键点击DefaultDomainPolicy然后选择“编辑”。4. 展开到“计算机配置->策略->Windows设置->安全设置->账户策略->
4、密码策略”。5.您可以在右边的窗口中定义密码相关的策略,此策略会应用于整个域中的所有账户。Win2003域策略1、打开“AD用户和计算机”,在wanxing.cn域上新建一个OU(组织单位),命名为:Client(组织单元里有用户thin-01) 2、右击Client,打开Client属性,点击“组策略”,展开“组策略”属性,点击“新建”按钮,新建一组策略对象,重命名为“禁止上网”。 (1)选择“禁止上网”这一策略对象,点击“编辑”按钮,打开“组策略编辑器”,然后在左侧的控制台树中依次展开:用户配置→Windows设置→InternetExplorer维护→连接。(2) 在右侧的详细窗格里
5、双击“代理设置”策略项,然后在弹出对话框上勾选“启用代理服务器设置”复选框,然后将代理服务器设置为“127.0.0.1”,如下图所示,应用了这条组策略,IE浏览器就无法访问Internet。(3)在“运行”输入:cmd,打开命令提示符,然后输入:gpupdate/force(手动更新组策略,使策略立即生效)(4)输入:gpresult (查看组策略应用结果)1.新建一个OU2.重新建立你所需要的用户3.转移之前的用户到这个新OU里面来。(选中拽进你的OU)4.新建策略5.gpupdate/force刷新策略域安全策略和域控制器安全策略的区别域控制器安全策略仅更改域控制器的本地用户而域安全策
6、略控制整个域的用户正如你说的“域控制器安全策略”优先于“域安全策略”,所以同时设置了两个策略的则域控制器将优先使用域控制器安全策略,而域中的其他的计算机还将继续使用域安全策略的设置项策略大体上分为4类,即本地策略,域策略,站点策略,ou策略,他们的作用顺序:localpolicy——〉sitepolicy——〉domainpolicy——〉oupolicy本地安全策略是本地策略的一部分,在开机的时后就会被执行,无论你是否处于工作组模式还是域模式.域安全策略是domainpolicy的一部分,domainpolicy的作用范围是整个域,因此一台计算机只要处于域模式,就会采用域策略site的策
7、略一般只在site之间有慢速连接的时候才会使用它,所以微软没有内置站点策略,需要管理员手工设置.DC安全策略是OU策略的一种,ou策略仅作用在ou下,因为dc安全策略是作用在domaincontroller这个ou上,所以把他们称作dc安全策略,而domaincontroller这个ou下默认存储的就是域内的所有dc,因此dc安全策略仅作用在dc之上,当然,如果你手工将一个计算机账号移入dcou,则那台计算机也会执行dc
此文档下载收益归作者所有