GPO密码策略仅部分适用

Question

我们正在尝试修改我们现有的密码策略，该策略正在通过GPO应用。由于某些原因，它没有应用密码策略部分中的任何设置(Comp Config > policy > Windows设置>> Account策略>密码策略)。

我们只在一个GPO中定义了密码设置。它不是在AD安装上创建的默认域策略，我们创建了一个新策略，然后修改了这个自定义策略。默认域策略不是链接的，而是此自定义域策略。在其他设置中，自定义域策略设置域的密码策略。我们最近修改了自定义策略，将MinPassowrdLength设置为16个字符，将MaxPasswordAge (MPA)设置为180天。没有应用密码策略下的这些设置。如果我更改任何帐户锁定策略设置，它们就会更改得很好，只是密码策略设置不会更改。我尝试更改设置，以查看它们是否被应用，然后检查默认密码策略(通过PowerShell Get-ADDefaultDomainPasswordPolicy)。我尝试了以下方法(并尝试在所附图像中捕获结果)：

• 确保此自定义策略是树中域级别上的第一个优先级(它是唯一列出的)。
• 添加新策略并使其成为域级别上的最高优先级。我使用了不同的设置，所以当我运行PS时，很明显我看到的是不同的设置。这会导致帐户锁定设置发生更改，但不会更改密码策略设置。
• 将设置密码策略的GPO设置为“启用”(右键单击选择启用-锁定它)，这迫使它位于所有下行OU的优先级列表的首位，但有一些非常意外的后果，因此我们没有启用它。
• 针对PDC的Ran组策略结果(在组策略管理中)，结果指出新设置应应用于DC。
• 链接默认域策略并将其设置为高于自定义域策略的优先级，再次应用锁定策略，但不应用密码策略设置。

我一直在阅读关于必须确保密码策略作为优先GPO应用于域控制器的文章，如果我在PDC/DC中选择OU，它将被列为GPO直接应用于OU之后的第一个。这两个GPO都不适用于此OU设置密码策略。

我们运行Windows 2016域控制器与Active在Windows 2012 R2域和功能级别。

我看不出我哪里出了问题，似乎我们以前在自定义域策略中设置的设置是不会改变的，但是我显然遗漏了一些东西来使它正常工作。任何帮助都将不胜感激。

Answer 1

所以我打电话给MS support，他们让我使用Set-ADDefaultDomainPasswordPolicy。我以前不想使用它，因为我不知道插入什么到-Identity参数中。结果，我应该使用域对象(我们的xyz.com)，这表明它设置正确。我们要注意的一点是，年龄参数在输入的几天内不采用一个直线整数(DD.HH:MM:SS -是的，这是a。不是A:在DD和HH之间)。