当前位置: 首页 > >

Windows2003域控制器图文教程3

发布时间:

密码策略设置
在域服务器上添加客户端帐号时,因为组策略的关系,创建客户端密码时会出现" 密码不符合策略要求",这时我们必须进行如下操作: 在域控制器上的开始菜单中打开“运行”,输入 DSA.MSC 后回车,即打开活动目 录的用户和计算机管理控制台。在域节点右键,进入属性,打开组策略选项卡, 在里边找到 Default Domain policy 这个 GPO 选中他,点击下面的编辑,,打开 组策略编辑器,在这个组策略编辑器中找到一下路径:计算机配置-WINDOWS 设 置-安全设置-帐户策略-密码策略。在这个路径下找到“密码必须符合复杂性要 求”设置为禁用,“密码长度最小值”设置为 0。这样你就可以创建空密码的用 户帐户了(当然在这里你也可以为你的域设置你自己需要的密码策略),完成了 以上设置后并没有完,还有最后一步,就是在开始菜单的运行中输入“gpupdate /force”这个命令。(即组策略刷新) 另: 1、如何在 WIN2003 中添加用户?每次添加用户时总是提示我不符合密码策略, 怎么办? 问:如何在 WIN2003 中添加用户?我将公司的主域服务器改成 win2003,但是 win2003 却不让我添加用户,每次添加用户是总是提示我不符合密码策略,怎么 办? 答:对于 2003 域,默认域的安全策略与 2000 域不同。要求域用户的口令必须符 合复杂性要求,且密码最小长度为 7。口令的复杂性包括三条:一是大写字母、 小写字母、数字、符号四种中必须有 3 种,二是密码最小长度为 6,三是口令中 不得包括全部或部分用户名。 当然也可以重新设默认域的安全策略来解决。操作如下:开始/程序/管理工具/ 域安全策略/帐户策略/密码策略: 密码必须符合复杂性要求:由“已启用”改为“已禁用”; 密码长度最小值:由“7 个字符”改为“0 个字符”。 使此策略修改生效有如下方法: 1、等待系统自动刷新组策略,约 5 分钟~15 分钟 2、重启域控制器(若是修改的用户策略,注销即可) 3、使用 gpupdate 命令。(推荐使用这个) 说明:2000 中使用的刷新组策略命令 secedit /refreshpolicy machine(或 user)_policy /enforce 命令在 03 中已由 gpupdate 取代。命令格式如下: 仅刷新计算机策略:gpupdate /target:computer 仅刷新用户策略: gpupdate /target:user 二者都刷新: gpupdate 此命令也适用于,修改了域/OU 上的组策略,欲对客户机或用户马上生效。

在客户机上运行此命令即可。自动刷新间隔:DC 到 DC 是 5 分钟,2 个以上的多 DC,最长可能达到 15 分钟,DC 到非 DC 是 90+ -30 分钟,即 60~120 分钟。 说明:安全策略只是组策略的一部分,或者说子集。所以有的网友说改默认域的 组策略也是对的。 操作:开始/程序/管理工具/AD 用户和计算机/域上右键/属性/组策略/默认域的 组策略/计算机配置/windows 设置/安全设置(MS 只不过把这部分单独提出来做 了鯩 MC 控制台——域安全策略,而已)/帐户策略/密码策略。 ===================================================================== 再问:这种方法我一开始就修改了,重新启动电脑,还是不行。用 gpedit.msc 修改倒是没有尝试?那我去试试, 这两种方法是不是一致的啊, 要是都是一致的, 看来也不行。 再答:gpedit.msc 是用来编辑本地策略的。 1、如果你建的是“域”用户,需要编辑默认域的策略才行。(按照你的上文, 我是这样理解的,即是在“AD 用户和计算机中”创建。)按照上面的方法,不 可能不好使。只有一种可能,我先说一下理论: 组策略应用的优先级(由低到高,策略有冲突时,高的说了算,不冲突时累加, 都生效):LSDOU 即:本地、站点、域、OU、小 OU…… 以域控制器上的安全策略为例,涉及到:本地安全策略、域安全策略、域控制器 安全策略。 因为默认:03 域是在域安全策略上设的,把这个改回“已禁用”,“0”即可。 唯一的可能就是有人动了域控制器的安全策略。 2、如果你是在域成员(非 DC)上建“本地”用户,那么在 DC 上修改了默认域 策略后,需要在客户机上刷新策略才行,用下列方法之一: (1)用 secedit 或 gpupdate (2)重启客户机 (3)等 1~2 小时后 说明:由于帐户策略是计算机策略(而非用户策略),在域上设,就会对域内所 有的 计算机生效,生效的结果进而影响了本地帐号,虽然本地帐号不是域帐号。 我的经验:更改完域的安全策略中关于密码策略后,一般都不能解决问题,还要运 行 gpedit.msc 打开本地策略管理器把密码策略中关于密码长度设为 0.这样应该 就可解决问题.




友情链接: