vi vet att vi kan ställa in domänlösenordspolicyer genom en grupppolicy knuten till domänen NC-huvudet. Vi vet att fram till 2008 blir denna policy den enda effektiva lösenordspolicyn för alla domänanvändarkonton., Det betyder att även om vi skapar en grupppolicy och knyter den till en OU lägre ner i strukturen, säger en administratör OU, kommer detta inte att påverka domänanvändarpolicyn – även för thos admin-konton i den OU. Så, inbyggt, vi kan inte ställa in en policy för våra användare och en annan, mer restriktiv politik för våra administratörer. Men det som ofta är okänt eller förbises är att lösenordspolicyn som anges vid den nedre OU faktiskt kan ha en inverkan.,
om policyn i den nedre OU endast gäller för användare, kommer inställningarna för lösenordspolicy att vara värdelösa (kom ihåg att lösenordsinställningar tillämpas i datordelen av policyn) – även om vi aktiverar Loopback-behandling. Men om lösenordspolicyn gäller datorer (arbetsstationer eller servrar) har policyn en inverkan.
grupprincipinställningar blir en del av den effektiva lokala policyn. Inställningarna för lösenordspolicy för lokal policy påverkar alla lokala konton; och varje Windows-dator har en lokal kontodatabas., Inställningarna för lösenordspolicyn i grupprincipen kommer att skriva över alla lokalt konfigurerade inställningar och kontona i den lokala SAM kommer att utsättas för dessa domänbaserade lösenordspolicyinställningar.
Jag har ibland kunder begär att deras lokala konton har en annan lösenordspolicy än domänen (säg ett längre lösenordskrav). För att tillämpa det på vissa innehöll uppsättning arbetsstationer, helt enkelt skapa en policy kopplad till OU eller en överordnad OU av dessa arbetsstationer och konfigurera inställningarna lösenord politik där., Det kommer inte att ha någon inverkan på domänlösenordspolicyn, men det kommer att påverka lokala konton på arbetsstationerna.