Тези настройки по подразбиране политика се прилагат за всички потребителски акаунти и домейн на потребителя, свързани с домейна. Тя се причинява от начина, по който Group Policy наследява възможност в структурата на Active Directory. За да се разбере по-добре как тези политики оказват влияние върху сметката за домейн и местно потребителя, трябва да се разбере къде се задават тези политики и как наследството на груповите правила засяга всички сметки. (Имайте предвид, че настройките за правилата Kerberos се прилагат само за потребителски домейн сметки, тъй като Kerberos се използва за проверка на автентичността на профилите само на домейни. Местните сметки се използват за NTLMv2 автентификация, NTLM или LM.)

Настройките в тази GPO контролира начина, по сметката за всички потребителски домейн сметки и всички домейни компютри. Моля, имайте предвид, че всички домейни компютри (настолни компютри, така и за сървъри) имат сигурност сметки Мениджър местно (SAM). Този контролер се контролира от настройки в GPO. В допълнение, на местния регулатор SAM съдържа локални потребителски акаунти за всеки компютър.

Настройките по подразбиране на политиката на домейни засягат всички компютри домейн чрез предмети наследство на груповите правила в структурата на Active Directory. Поради това, че GPO свързан с домейн възел, всички компютърни сметки домейн, ще зависи от това.

Какво може да се направи с настоящите политики парола

Например, много администратори вярват, че може да има множество политики на пароли за потребителите на един домейн. Те предполагат, че можете да създадете GPO и да го свържете с организационна единица. Идеята е да се преместите профилите на единицата, която те са засегнати от GPO. Вътре политики промяна на профила на GPO и да се създаде една по-сигурна парола политика, например чрез определяне на максималната дължина е пароли 14 знака. Въпреки това, по някаква причина, тази конфигурация няма да даде желания резултат. На първо място, настройките за правилата парола на базата на компютъра, а не на потребителя. Поради тази причина, те няма да се отрази на сметките на потребителите. На второ място, че единственият начин да промените настройките на политиката за сметката на домейн на потребителя, предоставена от GPO, свързани с домейна. GPOs са свързани с единици, които са конфигурирани да променят политиките сметка, промяна на местните CREDENTIAL записите Мениджър за компютърна сигурност са в устройството или в затворени единици, свързани единици.

Вторият неправилното предположение е, че настройките за правилата сметка, установени в основния домейн (първоначалния домейн на Directory гората Active) ще бъде наследен от поддомейните в гората. Това не е вярно. Осъществяване настройки, за да работи по този начин - това е невъзможно. GPOs свързани с домейна и отдели в рамките на един домейн, няма да повлияят на обекти в друг домейн, дори ако домейна, свързан с GPOs е коренът. Единственият начин да се разпространява обекти на груповите правила в различни области - да се свърже GPOs до обекти на Active Directory.

Как са пароли

Както можете да видите, всички настройки на групови правила, свързани с настройките на профила политика се дублират като атрибути. Имайте предвид, че искате да инсталирате, и приоритет. Това е необходимо за прилагането на множество политики парола от един домейн, като конфликти неизбежно ще възникнат между политиците и необходимостта от механизъм за справяне с тях.

Индикация за настройките за правилата сметка

За всеки обект да бъдат създадени трябва да бъдат запълнени с всички атрибути на политика се прилага за всеки потребителски акаунт. Има един нов атрибут, MSDS-PSOAppliesTo, определя кой обект набор от настройки за правила, които се прилагат. Това е най-важното качество, с която можете да зададете различни параметри за различните потребители. Този атрибут се отнася към списъка, който може да бъде както на потребители и групи, но е препоръчително да се използват групи, вместо на отделни потребители, както и във всички останали случаи, когато се работи със списъци за контрол на достъпа. Групи стабилност, откритост и лесни за управление.

В продължение на много години, всички ние бихме искали да използват различни политики парола от един домейн на Active Directory, и сега е най-накрая е възможно. Вече не трябва да се прилага за всички потребители на домейн е на същото ниво на сигурност, което се прилага за пароли. Сега, например, можете да конфигурирате настройките, така че обикновените потребители не са парола дължина от 8 символа, както и ИТ специалисти (които могат да имат администраторски права) - пароли до 14 символа.

Свързани статии

• Множество политики парола в рекламата или създаването на PSO - за системни администратори и не само

• Като членове на работните групи за системния администратор