pytanie
cześć,
wszystkie ustawienia zasad konta (w tym Zasady hasła) stosowane za pomocą zasad grupy są stosowane na poziomie domeny.
każda domena może mieć tylko jedną politykę konta. Zasady konta muszą być zdefiniowane w domyślnych zasadach domeny lub w nowych zasadach, które są powiązane z głównym katalogiem domeny i mają pierwszeństwo przed domyślnymi zasadami domeny, które są egzekwowane przez kontrolery domeny w domenie. Te ustawienia zasad konta dla całej domeny (Zasady hasła, Zasady blokady konta i zasady Kerberos) są egzekwowane przez kontrolerów domeny w domenie; dlatego kontrolerzy domeny zawsze pobierają wartości tych ustawień zasad konta z obiektu zasad grupy domyślnych zasad domeny (GPO).
jak testowałeś, jeśli zasady te są ustawione na dowolnym poziomie poniżej poziomu domeny w Usługach domenowych Active Directory (AD DS), dotyczą one tylko kont lokalnych na serwerach członkowskich.
możesz użyć drobnoziarnistych zasad haseł, aby określić wiele zasad haseł w jednej domenie i zastosować różne ograniczenia dotyczące zasad blokady hasła i konta do różnych zestawów użytkowników w domenie.
aby uzyskać więcej informacji, możesz zapoznać się z :https://docs.microsoft.com/en-us/archive/blogs/canitpro/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad
Pozdrawiam,