将新的细粒度密码策略应用于OU

Question

我使用PowerShell在Server 2012中创建了一个组织单位，并且我已通过以下脚本使用PowerShell创建了一个细粒度的密码策略：

New-ADFineGrainedPasswordPolicy -Name test -DisplayName test -Precedence 100 -ComplexityEnabled $true -ReversibleEncryptionEnabled $false - PasswordHistoryCount 10 -MinPasswordLength 3 -MinPasswordAge 1.00:00:00 -MaxPasswordAge 100.00:00:00 -LockoutThreshold 3 -LockoutObservationWindow 0.00:05:00 -LockoutDuration 0.00:10:00 

我想在我创建的使用PowerShell命令名为"OU=HRdep,DC=ghufranataie,DC=com"的单位部门中应用上述政策。

在以下命令中，Applies To为空。我不知道如何将名为HRdep专有名称的组织单位设置为名为test的细粒度密码策略。

PS C:\Users\Administrator> New-ADOrganizationalUnit -Name HRdep
PS C:\Users\Administrator> Get-ADFineGrainedPasswordPolicy -Identity test
AppliesTo                   : {}
ComplexityEnabled           : True
DistinguishedName           : CN=test,CN=Password Settings Container,CN=System,DC=ghufranataie,DC=com
LockoutDuration             : 00:10:00
LockoutObservationWindow    : 00:05:00
LockoutThreshold            : 3
MaxPasswordAge              : 100.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 3
Name                        : test
ObjectClass                 : msDS-PasswordSettings
ObjectGUID                  : bc1a09d3-3bb6-4e94-b8a5-88ac12eb060f
PasswordHistoryCount        : 10
Precedence                  : 100
ReversibleEncryptionEnabled : False

截图：

Answer 1

两件事。

您可以使用ADAC单击此类配置，ADAC将为您编写此代码，您可以调整以满足未来用例的需求。 见：

https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad

https://blogs.technet.microsoft.com/canitpro/2015/03/04/step-by-step-utilizing-powershell-history-viewer-in-windows-server-2012-r2

或者查看此处的说明： https://social.technet.microsoft.com/wiki/contents/articles/20806.how-to-apply-an-ad-ds-fine-grained-password-policy-on-users-under-an-organizational-unit.aspx

Answer 2

猜测您还没有阅读任何有关细粒度密码的文档，因为几乎每篇文章都会告诉您，您无法直接在组织单位上应用细粒度密码策略。

它们只能应用于用户或全局安全组。

  

PSO无法直接应用于组织单位（OU）。如果您的用户被组织为OU，请考虑创建包含来自这些OU的用户的全局安全组，然后将新定义的细粒度密码和帐户锁定策略应用于它们。如果将用户从一个OU移动到另一个OU，则必须更新相应全局安全组中的用户成员身份。

https://technet.microsoft.com/en-us/library/cc770842(v=ws.10).aspx

  

默认情况下，您无法直接在组织单位上应用细粒度密码策略。这是因为它只能应用于用户或全局安全组。

https://social.technet.microsoft.com/wiki/contents/articles/20806.how-to-apply-an-ad-ds-fine-grained-password-policy-on-users-under-an-organizational-unit.aspx

  

细粒度密码策略无法直接应用于组织单位（OU）。要将细粒度密码策略应用于OU的用户，可以使用影子组。

https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx