Sappiamo che possiamo impostare le politiche di password di dominio attraverso una politica di gruppo legata alla testa di dominio NC. Sappiamo che fino al 2008, questa politica diventa la singolare politica password efficace per tutti gli account utente di dominio., Ciò significa che anche se creiamo un criterio di gruppo e lo leghiamo a un OU più in basso nella struttura, ad esempio un OU degli amministratori, ciò non influirà sui criteri utente del dominio, anche per gli account amministratore in quell’OU. Pertanto, in modo nativo, non possiamo impostare una politica per i nostri utenti e un’altra politica più restrittiva per i nostri amministratori. Tuttavia, ciò che è spesso sconosciuto o trascurato è che la politica delle password impostata nella OU inferiore può effettivamente avere un impatto.,
Se la politica nella OU inferiore si applica solo agli utenti, le impostazioni della politica della password saranno inutili (ricorda, le impostazioni della politica della password vengono applicate nella parte computer della politica), anche se abilitiamo l’elaborazione del loopback. Tuttavia, se la politica della password si applica ai computer (workstation o server), la politica ha un impatto.
Le impostazioni dei criteri di gruppo diventano parte dei criteri locali effettivi. Le impostazioni dei criteri di password per i criteri locali influiscono su qualsiasi account locale e ogni macchina Windows dispone di un database di account locali., Le impostazioni dei criteri della password nei criteri di gruppo sovrascriveranno le impostazioni configurate localmente e gli account nel SAM locale saranno soggetti a queste impostazioni dei criteri della password basate sul dominio.
Occasionalmente i clienti richiedono che i loro account locali abbiano una politica di password diversa rispetto al dominio (ad esempio, un requisito di password più lungo). Per applicarlo ad alcune workstation contenute, è sufficiente creare un criterio collegato all’OU o a un OU padre di queste workstation e configurare le impostazioni dei criteri della password., Non avrà alcun impatto sulla politica della password del dominio, ma influenzerà gli account locali sulle workstation.