Wir wissen, dass wir Domänenpasswortrichtlinien über eine an den Domänenkennwortkopf gebundene Gruppenrichtlinie festlegen können. Wir wissen, dass diese Richtlinie bis 2008 zur einzigen wirksamen Kennwortrichtlinie für alle Domänenbenutzerkonten wird., Dies bedeutet, dass selbst wenn wir eine Gruppenrichtlinie erstellen und sie an eine OU binden, die in der Struktur niedriger ist, z. B. eine Admins – OU, dies keine Auswirkungen auf die Domänenbenutzerrichtlinie hat-selbst für die Administratorkonten in dieser OU. Daher können wir nativ keine Richtlinie für unsere Benutzer und keine andere, restriktivere Richtlinie für unsere Administratoren festlegen. Was jedoch oft unbekannt ist oder übersehen wird, ist, dass die in der unteren OU festgelegte Kennwortrichtlinie tatsächlich Auswirkungen haben kann.,
Wenn die Richtlinie in der unteren OU nur für Benutzer gilt, sind die Kennwortrichtlinieneinstellungen unbrauchbar (denken Sie daran, Kennwortrichtlinieneinstellungen werden im Computerbereich der Richtlinie angewendet) – selbst wenn wir die Loopback-Verarbeitung aktivieren. Wenn die Kennwortrichtlinie jedoch für Computer (Workstations oder Server) gilt, hat die Richtlinie Auswirkungen.
Gruppenrichtlinieneinstellungen werden Teil der effektiven lokalen Richtlinie. Die Einstellungen für Kennwortrichtlinien für lokale Richtlinien wirken sich auf alle lokalen Konten aus.und jeder Windows-Computer verfügt über eine lokale Kontendatenbank., Die Kennwortrichtlinien-Einstellungen in der Gruppenrichtlinie überschreiben alle lokal konfigurierten Einstellungen, und die Konten in der lokalen SAM unterliegen diesen domänenbasierten Kennwortrichtlinien-Einstellungen.
Gelegentlich fordern Kunden an, dass ihre lokalen Konten eine andere Kennwortrichtlinie als die Domäne haben (z. B. eine längere Kennwortanforderung). Um dies auf einen enthaltenen Satz von Workstations anzuwenden, erstellen Sie einfach eine Richtlinie, die mit der OU oder einer übergeordneten OU dieser Workstations verknüpft ist, und konfigurieren Sie dort die Einstellungen für Kennwortrichtlinien., Dies hat keine Auswirkungen auf die Domänenpasswortrichtlinie, wirkt sich jedoch auf lokale Konten auf den Workstations aus.