Frage
Hallo,
Alle Einstellungen für Kontorichtlinien (einschließlich der Kennwortrichtlinie), die mithilfe der Gruppenrichtlinie angewendet werden, werden auf Domänenebene angewendet.
Jede Domäne kann nur eine Kontenrichtlinie haben. Die Kontorichtlinie muss in der Standarddomänenrichtlinie oder in einer neuen Richtlinie definiert werden, die mit dem Stammverzeichnis der Domäne verknüpft ist und Vorrang vor der Standarddomänenrichtlinie hat, die von den Domänencontrollern in der Domäne erzwungen wird. Diese domänenweiten Kontenrichtlinieneinstellungen (Kennwortrichtlinie, Kontensperrrichtlinie und Kerberos-Richtlinie) werden von den Domänencontrollern in der Domäne erzwungen; daher rufen Domänencontroller die Werte dieser Kontenrichtlinieneinstellungen immer aus dem Gruppenrichtlinienobjekt (GPO) der Standarddomänenrichtlinie ab.
Wenn diese Richtlinien auf einer Ebene unterhalb der Domänenebene in Active Directory-Domänendiensten (AD DS) festgelegt sind, wirken sie sich wie getestet nur auf lokale Konten auf Mitgliedsservern aus.
Sie können feinkörnige Kennwortrichtlinien verwenden, um mehrere Kennwortrichtlinien in einer einzelnen Domäne anzugeben und unterschiedliche Einschränkungen für Kennwortrichtlinien und Kontosperrrichtlinien auf verschiedene Benutzergruppen in einer Domäne anzuwenden.
Für weitere Details können Sie sich beziehen auf :https://docs.microsoft.com/en-us/archive/blogs/canitpro/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad
Mit freundlichen Grüßen,