vraag
Hi,
alle instellingen van het accountbeleid (inclusief het wachtwoordbeleid) die met Groepsbeleid worden toegepast, worden op domeinniveau toegepast.
elk domein kan slechts één accountbeleid hebben. Het accountbeleid moet worden gedefinieerd in het standaarddomeinbeleid of in een nieuw beleid dat is gekoppeld aan de hoofdmap van het domein en voorrang heeft boven het standaarddomeinbeleid, dat wordt afgedwongen door de domeincontrollers in het domein. Deze domeinbrede accountbeleidsinstellingen (wachtwoordbeleid, accountvergrendelingsbeleid en Kerberos-beleid) worden afgedwongen door de domeincontrollers in het domein; domeincontrollers halen daarom altijd de waarden van deze accountbeleidsinstellingen op in het STANDAARDDOMEINBELEIDSOBJECT van de groepsbeleidsobject (domeincontrollers Group Policy Object).
als deze beleidsregels zijn ingesteld op een niveau onder het domeinniveau in AD DS (Active Directory Domain Services), hebben ze, zoals u hebt getest, alleen invloed op lokale accounts op lidservers.
u kunt fijnkorrelig wachtwoordbeleid gebruiken om meerdere wachtwoordbeleid in een enkel domein op te geven en verschillende beperkingen voor wachtwoordvergrendelingsbeleid en accountvergrendelingsbeleid toepassen op verschillende sets gebruikers in een domein.
voor meer details kunt u verwijzen naar :https://docs.microsoft.com/en-us/archive/blogs/canitpro/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad
met vriendelijke groet,