web-dev-qa-db-ja.com

Active Directory GPOパスワードポリシーがデフォルトのドメインポリシーから適用されない場合

OK。パスワードポリシーを実装しました。以前の投稿から、OU内からは適用できないことがわかっているため、デフォルトのドメインポリシーから構成しました。クライアントマシンからRSOP.mscを実行すると、ポリシー設定がSource GPO "Default Domain Policy。"で表示されます。したがって、機能しているように見えますが、機能していません。たとえば、I複雑さの要件がありますが、パスワード「a」を受け入れます。また、設定が89日の「パスワードの最小有効期間」であるときにWindowsセキュリティ内でパスワードを変更することもできます。明らかに、ポリシーは実際には適用されていません。

何をすべきか?

RSOP results for XXXX\XXXX on XXXXX-XXXXX: Logging Mode
----------------------------------------------------------

OS Type:                     Microsoft Windows XP Professional
OS Configuration:            Member Workstation
OS Version:                  5.1.2600
Domain Name:                 XXXXXX
Domain Type:                 Windows 2000
Site Name:                   XXXXXX
Roaming Profile:
Local Profile:               C:\Documents and Settings\XXXXX
Connected over a slow link?: No


COMPUTER SETTINGS
------------------

    CN=XXXXXXXXX,OU=UserComputers,DC=corp,DC=XXXXX,DC=com
    Last time Group Policy was applied: 10/14/2011 at 3:58:40 PM
    Group Policy was applied from:      tfs.corp.emergingmed.com
    Group Policy slow link threshold:   0 kbps

    Applied Group Policy Objects
    -----------------------------
        Published Software
        Copy of Base
        Default Domain Policy

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups:
    --------------------------------------------------------
        BUILTIN\Administrators
        Everyone
        SQLServerMSSQLServerADHelperUser$XXXXX
        BUILTIN\Users
        NT AUTHORITY\NETWORK
        NT AUTHORITY\Authenticated Users
        XXXXXXX$
        Domain Computers
        People


USER SETTINGS
--------------
    CN=XXXXXX,OU=Employees,DC=corp,DC=XXXX,DC=com
    Last time Group Policy was applied: 10/14/2011 at 3:58:40 PM
    Group Policy was applied from:      tfs.corp.XXXXX.com
    Group Policy slow link threshold:   0 kbps

    Applied Group Policy Objects
    -----------------------------
        Published Software
        Startup Scripts
        Copy of Base
        Default Domain Policy

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The user is a part of the following security groups:
    ----------------------------------------------------
        Domain Users
        Everyone
        BUILTIN\Administrators
        Remote Desktop Users
        BUILTIN\Users
        NT AUTHORITY\INTERACTIVE
        NT AUTHORITY\Authenticated Users
        LOCAL
windows-server-2008active-directorygroup-policypassword
2
tacos_tacos_tacos

パスワードポリシーは、アカウントデータベースがあるサーバーのOUに適用する必要があります。 Active Directoryでパスワードを制御しようとしている場合、これは、ポリシーをドメインコントローラーOUに適用する必要があることを意味します。ドメインコントローラーOUで継承がブロックされている場合、デフォルトでルートにリンクされている既定のドメインポリシーを変更しても、目的の操作は実行されません。

ポリシーをデフォルトのドメインレベルで設定することにより、ワークステーションのパスワードポリシーを制御している可能性があります。これは、ワークステーションのローカルアカウントにパスワード要件があることを意味します。ローカルアカウントを作成してパスワードを設定してみてください。

これは、Windows2008より前のドメインで複数のパスワードポリシーを使用できないのと同じ理由に部分的に関連しています。ポリシーはすべてのドメインコントローラーに適用する必要があるため、異なるユーザー/コンピューターを区別する方法はありません。

きめ細かいポリシー 2008年でも、グループポリシーを単純に使用することはできません。さまざまなオブジェクトがさまざまなパスワードポリシーをターゲットにするように、LDAPで特別な属性を設定する必要があります。

6
Zoredache