如何打开Windows Server 2008 R2的域安全策略

今天安装了Windows Server 2008 R2系统，并且建了域环境，在添加新用户的时候，发现用简单的密码时域安全策略提示密码复杂度不够，于是我就想在域安全策略里面把密码复杂度降低一点，但是很快就发现，在Windows Server 2008域的默认“管理工具”中，根本没有域安全策略这个选项（“域安全策略”在Windows Server 2003以前的系统默认在“管理工具”里面），只有一个本地安全策略（图1所示）。 

 

图1

    当打开本地安全策略时，你会发现无论是账户策略还是本地策略，里面的项目都是灰色不可修改，如图2所示。

图2

    这是为什么呢？很简单，只要你将Windows Server 2008 R2系统升级为域控制器，那么域会自动把本地安全策略的某些功能锁定。那么Windows Server 2008 R2的域安全策略到底在哪里打开呢？经过一段时间的摸索，我终于找到了开启之门。

    1、点击“开始”→“程序”→“管理工具”→点击“组策略管理”（如图1所示）。

    2、在打开的组策略管理，一次展开“林”→“域”→“sayms.com（域名）”→“组策略对象”→右击“Default Domain Policy”，选择“编辑”（如图3所示）。

 

 

图3

     3、在打开的“组策略管理编辑器”，依次展开“计算机配置”→“策略”，这个策略里面包含的就是Windows Server 2008的域安全策略啦O(∩_∩)O

     如果你想修改账户密码的复杂度，还得往下展开“Windows设置”→“安全设置”→“账户策略”→“密码策略”（如图4所示）。

当一台服务器被提升为域控制器后，本地策略不再有效，取而代之的是默认域策略。

本地组策略
本地组策略是指应用于本机，且设定后只会在本机起作用的策略，运行的方法为点开始 – 运行 – 然后键入gpedit.msc，在弹出本地组策略编辑器中即可进行设置。
域组策略
域组策略是指应用于站点，域或者组织单元(OUs)的策略，它的最终作用对象通常是多个用户或者计算机，可以在DC上点开始 – 运行 – 然后键入gpmc.msc来运行。

密码策略是属于域级别的策略，必须在默认域策略或链接到根域的新策略中定义。所以虽然您可以在Default domain controller policy 中定义密码策略，但是因为Default domain controller policy只应用到了domain controllers OU而不是整个域，所以在Default domain controller policy 中定义密码策略是无效的。 另外由于域组策略的优先级高于本地组策略的优先级，在域密码策略应用并生效后，所有已经加入域的电脑（包括DC）的本地策略中，密码相关设置都会变成灰色不可修改状态。

在本地策略中的，密码策略就应该是灰色的，无法编辑。当我们点击开始 – 运行 – 然后键入gpedit.msc回车后，本地策略编辑器就会被打开。而由于域组策略的优先级高于本地组策略的优先级，所有在域组策略中已经设定过的策略都将变为灰色不可修改状态（比如密码策略）。

如果您要修改密码策略，您可以使用以下方法：

1．点击开始 – 运行 – 然后键入gpmc.msc，回车后打开“组策略管理”控制台。
2．展开到 “域 -> Domain.com -> 组策略对象（Domain.com是指您的域名）”。
3．右键点击Default Domain Policy然后选择“编辑”。
4.  展开到“计算机配置 -> 策略-> Windows 设置 -> 安全设置 -> 账户策略 - > 密码策略”。
5．您可以在右边的窗口中定义密码相关的策略，此策略会应用于整个域中的所有账户。

域级别策略
https://www.microsoft.com/china/technet/security/topics/serversecurity/tcg/tcgch02n.mspx