pregunta
Hola,
Todas las configuraciones de directivas de cuenta (incluida la directiva de contraseñas) aplicadas mediante la Directiva de grupo se aplican a nivel de dominio.
Cada dominio solo puede tener una directiva de cuenta. La directiva de cuenta debe definirse en la directiva de dominio predeterminada o en una nueva directiva vinculada a la raíz del dominio y con prioridad sobre la directiva de dominio predeterminada, que los controladores de dominio del dominio aplican. Los controladores de dominio del dominio aplican estas configuraciones de directiva de cuenta para todo el dominio (Directiva de contraseñas, Directiva de Bloqueo de cuenta y Directiva Kerberos); por lo tanto, los controladores de dominio siempre recuperan los valores de estas configuraciones de directiva de cuenta del Objeto de directiva de grupo (GPO) de directiva de dominio predeterminado.
Como se comprobó, si estas directivas se establecen en cualquier nivel por debajo del nivel de dominio en los Servicios de dominio de Active Directory (AD DS), solo afectan a las cuentas locales de los servidores miembros.
Puede usar directivas de contraseñas detalladas para especificar varias directivas de contraseñas en un solo dominio y aplicar restricciones diferentes para las directivas de bloqueo de contraseñas y cuentas a diferentes conjuntos de usuarios de un dominio.
Para más detalles, puede consultar:https://docs.microsoft.com/en-us/archive/blogs/canitpro/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad
Saludos cordiales,