文档介绍:windows2008r2AD密码策略新装了一台windows2008r2升為AD。发现密码策略是灰色的,查看域安全策略及域default策略,都是没有定义!!在域控制器上,执行本地策略,发现都是灰色不可修改状,没法设置?这是为何??组策略分为两种:本地组策略和域组策略。本地组策略本地组策略是指应用于本机,且设定后只会在本机起作用的策略,运行的方法为点开始–运行–,在弹出本地组策略编辑器中即可进行设置。域组策略域组策略是指应用于站点,域或者组织单元(OUs)的策略,它的最终作用对象通常是多个用户或者计算机,可以在DC上点开始–运行–。针对您的问题,密码策略是属于域级别的策略,必须在默认域策略或链接到根域的新策略中定义。所以虽然您可以在Defaultdomaincontrollerpolicy中定义密码策略,但是因为Defaultdomaincontrollerpolicy只应用到了domaincontrollers而不是整个域,所以在Defaultdomaincontrollerpolicy中定义密码策略是无效的。另外由于域组策略的优先级高于本地组策略的优先级,在域密码策略应用并生效后,所有已经加入域的电脑(包括DC)的本地策略中,密码相关设置都会变成灰色不可修改状态。因为当一台服务器被提升为域控制器后,本地策略不再有效,取而代之的是默认域策略。当我们点击开始–运行–,本地策略编辑器就会被打开。而由于域组策略的优先级高于本地组策略的优先级,所有在域组策略中已经设定过的策略都将变为灰色不可修改状态(比如密码策略)。如果您要修改密码策略,您可以使用以下方法:–运行–,回车后打开“组策略管理”控制台。“域->->组策略对象(是指您的域名)”。“编辑”。4. 展开到“计算机配置->策略->Windows设置->安全设置->账户策略->密码策略”。,此策略会应用于整个域中的所有账户。Win2003域策略1、打开“AD用户和计算机”,域上新建一个OU(组织单位),命名为:Client(组织单元里有用户thin-01) 2、右击Client,打开Client属性,点击“组策略”,展开“组策略”属性,点击“新建”按钮,新建一组策略对象,重命名为“禁止上网”。 (1)选择“禁止上网”这一策略对象,点击“编辑”按钮,打开“组策略编辑器”,然后在左侧的控制台树中依次展开:用户配置→Windows设置→Explorer维护→连接。(2) 在右侧的详细窗格里双击“代理设置”策略项,然后在弹出对话框上勾选“启用***设置”复选框,然后将***设置为“”,如下图所示,应用了这条组策略,。(3)在“运行”输入:cmd,打开命令提示符,然后输入:gpupdate/force(手动更新组策略,使策略立即生效)(4)输入:gpresult (查看组策略应用结果)。(选中拽进你的OU)“域控制器安全策略”优先于“域安全策略”,所以同时设置了两个策略的则域控制器将优先使用域控制器安全策略,而域中的其他的计算机还将继续使用域安全策略的设置项策略大体上分为4类,即本地策略,域策略,站点策略,ou策略,他们的作用顺序:localpolicy——〉sitepolicy——〉domainpolicy——〉oupolicy本地安全策略是本地策略的一部分,在开机的时后就会被执行,,domainpolicy的作用范围是整个域,因此一台计算机只要处于域模式,就会采用域策略site的策略一般只在site之间有慢速连接的时候才会使用它,所以微软没有内置站点策略,,ou策略仅作用在ou下,因为dc安全策略是作用在domaincontroller这个ou上,所以把他们称作dc安全策略,而domaincontroller这个ou下默认存储的就是域内的所有dc,因此dc安全策略仅作用在dc之上,当然,如果你手工将一个计算机账号移入dcou,则那台计算机也会执行dc安全策略。也就是说,一台处于工作组模式的计算机只会执行本地安全策略,而dc则至少要执行本地安全策略,域安全策略,域