fråga
Hej,
alla kontopolicyinställningar (inkludera lösenordspolicyn) som tillämpas med hjälp av grupppolicy tillämpas på domännivå.
varje domän kan bara ha en kontopolicy. Kontoprincipen måste definieras i standarddomänprincipen eller i en ny princip som är kopplad till domänens rot och ges företräde framför standarddomänprincipen, som verkställs av domänkontrollanterna i domänen. Dessa domänomfattande kontopolicyinställningar (Lösenordsprincip, konto Lockout-princip och Kerberos-princip) verkställs av domänkontrollanterna i domänen.därför hämtar domänkontrollanter alltid värdena för dessa kontopolicyinställningar från GPO (standard domain policy Group Policy Object).
när du testade, om dessa principer är inställda på någon nivå under domännivån i Active Directory Domain Services (AD DS), påverkar de bara lokala konton på medlemsservrar.
du kan använda finkorniga lösenordspolicyer för att ange flera lösenordspolicyer i en enda domän och tillämpa olika begränsningar för lösenords-och kontoutlåsningspolicyer för olika uppsättningar användare i en domän.
för mer information kan du hänvisa till:https://docs.microsoft.com/en-us/archive/blogs/canitpro/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad
med vänliga hälsningar,