windows 2008 r2 AD密码策略
新装了一台windows 2008 r2 升為AD。发现密码策略是灰的,查看域安全策略及域default策略,都是没有定义!!在域控制器上,执行本地策略,发现都是灰不可修改状,没法设置?这是为何??
组策略分为两种: 本地组策略和域组策略。
本地组策略
本地组策略是指应用于本机,且设定后只会在本机起作用的策略,运行的方法为点开始 – 运行 – 然后键入gpedit.msc,在弹出本地组策略编辑器中即可进行设置。
域组策略
域组策略是指应用于站点,域或者组织单元(OUs)的策略,它的最终作用对象通常是多个用户或者计算机,可以在DC上点开始 – 运行 – 然后键入gpmc.msc来运行。
针对您的问题,密码策略是属于域级别的策略,必须在默认域策略或链接到根域的新策略中定义。所以虽然您可以在Default domain controller policy 中定义密码策略,但是因为Default domain controller policy只应用到了domain controllers 而不是整个域,所以在Default domain controller policy 中定义密码策略是无效的。 另外由于域组策略的优先级高于本地组策略的优先级,在域密码策略应用并生效后,所有已经加入域的电脑(包括DC)的本地策略中,密码相关设置都会变成灰不可修改状态。
因为当一台服务器被提升为域控制器后,本地策略不再有效,取而代之的是默认域策略。当我们点击开始 – 运行 – 然后键入gpedit.msc回车后,本地策略编辑器就会被打开。而由于域组策略的优先级高于本地组策略的优先级,所有在域组策略中已经设定过的策略都将变为灰不可修改状态(比如密码策略)。
如果您要修改密码策略,您可以使用以下方法:
1.点击开始 – 运行 – 然后键入gpmc.msc,回车后打开“组策略管理”控制台。
2.展开到 “域 -> Domain -> 组策略对象(Domain是指您的域名)”。
3.右键点击Default Domain Policy然后选择“编辑”。
4.  展开到“计算机配置 -> 策略-> Windows 设置 -> 安全设置 -> 账户策略 - > 密码策略”。
5.您可以在右边的窗口中定义密码相关的策略,此策略会应用于整个域中的所有账户。
Win2003域策略
1、打开“AD用户和计算机”,在wanxing域上新建一个OU(组织单位),命名为:Client(组织单元里有用户thin-01)
 
2、右击Client,打开Client属性,点击“组策略”,展开“组策略”属性,点击“新建”按钮,新建一组策略对象,重命名为“禁止上网”。
 

(1) 选择“禁止上网”这一策略对象,点击“编辑”按钮,打开“组策略编辑器”,然后在左侧的控制台树中依次展开:用户配置→Windows设置→Internet Explorer维护→连接。


(2)  在右侧的详细窗格里双击“代理设置”策略项,然后在弹出对话框上勾选“启用代理服务器设置”复选框,然后将代理服务器设置为“127.0.0.1”,如下图所示,应用了这条组策略,IE浏览器就无法访问Internet。
(3)在“运行”输入:cmd,打开命令提示符,然后输入:gpupdate /force (手动更新组策略,使策略立即生效)

(4)输入:gpresult (查看组策略应用结果)
1.新建一个OU
2.重新建立你所需要的用户
3.转移之前的用户到这个新OU里面来。(选中拽进你的OU)
4.新建策略
5.gpupdate /force刷新策略
域安全策略和域控制器安全策略的区别
域控制器安全策略 仅更改域控制器的本地用户
而域安全策略 控制整个域的用户
正如你说的“域控制器安全策略”优先于“域安全策略”,所以同时设置了两个策略的则域控制器将优先使用域控制器安全策略,而域中的其他的计算机还将继续使用域安全策略的设置项
策略大体上分为4类,即本地策略,域策略,站点策略,ou策略,他们的作用顺序:local policy——〉site policy——〉domain policy——〉ou policy

本地安全策略是本地策略的一部分,在开机的时后就会被执行,无论你是否处于工作组模式还是域模式.
windows2008 r2激活码域安全策略是domain policy的一部分,domain policy的作用范围是整个域,因此一台计算机只要处于域模式,就会采用域策略
site的策略一般只在site之间有慢速连接的时候才会使用它,所以微软没有内置站点策略,需要管理员手工设置.
DC安全策略是OU策略的一种,ou策略仅作用在ou下,因为dc安全策略是作用在domain controller这个ou上,所以把他们称作dc安全策略,而domain controller这个ou下默认存储的就是域内的所有dc,因此dc安全策略仅作用在dc之上,当然,如果你手工将一个计算机账号移入dc ou,则那台计算机也会执行dc安全策略。
也就是说,一台处于工作组模式的计算机只会执行本地安全策略,而dc则至少要执行本地安全策略,域安全策略,域控制器安全策略三个策略,换言之,处于域模式的计算机要执行多条策略,那么就要有相应的措施保证策略不冲突。默认情况下,当多条策略之间不产生冲突的时候,多条策略之间是merge的关系,即和并执行;但当产生冲突的时候,后执行的策略会替代先执行的策略。也就是说无论在何种情况下,ou设置的策略都会生效

一条策略又可以分为计算机策略和用户策略计算机策略作用在计算机上用户策略作用在用户对象上,当同一条策略的计算机策略和用户策略产生冲突的时候,以计算机策略为准,那么接下来又会有问题,一个用户a属于sales ou,而一个计算机账号b属于marketing ou,并且在这两个ou上分别设定有ou的策略,那么这个时候,如果用户a到b上进行登陆会出现什么样的情况呢。默认情况下,用户a身上作用的是sales ou user policy而计算机b上作用的则是marketing ou computer policy,这显然是管理员不希望看到的情况,因为这样存在安全的隐患,在这种情况下用户策略有可能盖过计算机策略。所以此时又提出了另外一个概念,loopback模式,loopback模式又划分为两类,第一重视replace,即强制用户a采用marketing ou users policy,忽略a所在ou的sales ou users policy,另一种是采用merge模式,即将mar
keting ou users policy 和 sales ou users policy和并执行,当产生冲突的时候以marketing ou policy 为准,通过这种方式,保证了用户策略不会盖过计算机策略,从而避免了安全隐患