如何从应用的密码策略中排除用户
Saa*_*iko 2 windows password domain group-policy exclude
我收到了一项要求,即需要将单个用户排除在公司的密码策略之外(如果您问,则是 CEO)。
因此,我尝试了以下方法但没有成功。
- 我已将默认域密码设置复制到新对象。
- 我已为经过身份验证的用户启用了该新对象。
- 在域密码委托设置中,我添加了特定用户,并在:应用复选框 - 我将其设置为拒绝
*我还应该设置拒绝读取选项吗?
我可以看到,当用户登录时,gpresult 显示应用了域密码 GP,但是,他仍然受到与域其余部分相同的限制。
问:我做错了什么?- : 如何从域策略中排除用户?
非常感谢
Windows Active Directory 有两种不同风格的密码策略:
- 您在默认域策略(或链接到域根对象的另一个 GPO)中设置的一个,无一例外地适用于所有内容 (2000-2008r2)
- 一个细粒度的密码策略,允许您为不同的组设置不同的策略,但有例外 (2008-2008r2)
由于“无例外”项目,第一种很难处理。无法容纳像您这样的特殊雪花用户,某些关键实用程序用户(例如所有 Web 应用程序都用于 LDAP 绑定的用户)也无法容纳。这就是细粒度密码策略诞生的原因。
FGPG不是基于 GPO,而是完全通过不同的机制应用的。但是,您确实需要处于 Server 2008 功能级别才能使用它们。它们可以允许您为除特殊组以外的所有用户设置单一密码策略,并为该组设置完全不同的策略。或者为每个特殊用户制定不同的政策。它甚至有一种处理策略重叠的机制,以确定当多个策略可以应用时哪个策略将获胜。
Server 2000 风格的适用于所有人的密码策略可能难以理解。它仅设置在一处,即链接到域根对象的 GPO。这些设置在任何 GPO 中都可见,但在未链接到 root 的策略中设置时,它们不会执行任何操作。
| 归档时间: |
|
| 查看次数: |
9636 次 |
| 最近记录: |