域控制器组策略密码策略被锁定，如何解决？

Posted 2023-05-05

系统2003版，服务DNS和AD。装完AD后，密码策略无法修改了，整个密码策略都被锁定，如何解锁呢，有懂得吗，帮忙分析分析问题在那里？

你肯定运行了gpedit.msc，这个在服务器添加AD之后会失效。
服务器上添加完林、域之后你是无法修改组策略（gpedit.msc）的，基本上所有的选项都是灰色的！因为那是本地的组策略，他的功能已经被其所在的域控制器所取代，所以必须到域策略里面修改，开始-管理工具-域控制器安全策略-这里可以修改服务器本机策略。
如果想修改域中其他计算机策略，请修改开始-管理工具-域安全策略-账户策略--这里可以修改域中客户机密码策略！
在server 2008和server r2或更高版本的服务器中，可以直接运行gpmc.msc来管理域组策略。在出现的窗口中，选择自己的域控名称，右边窗口选择Default Domain Policy右键属性可修改，因为server 2008 开始菜单中没有域安全策略的。 参考技术A 你是不是设置了密码策略，比如：输入三次错误此账户就自动锁定，如果是这样子的话，那么你等半个小时后它会自动解锁，当然了，这得看你当时设定的时间是多长了。

您看一下你有没有其他有此权限的账号，进入进组策略把密码策略那一项关闭掉，或者用WINPE看一下是否能解锁。

Windows服务与安全

Windows服务与安全
本地策略：
本地安全策略：
打开：控制面板-管理工具——本地安全策略
Secpol。Msc
账户策略：密码策略；账户锁定策略
本地策略：审核策略（用于做监控windows安全日志）；用户权限分配；安全选项
管理工具——事件查看器

Gpupdate刷新策略的命令

本地组策略：一组策略的集合称为组策略（和用户组没关系）
Gpedit。Msc打开

域组策略
设置对象：保存在GPO中，默认两个：默认域策略；默认域控制器策略

OU默认继承域策略设置：右键可以阻止继承；组策略可以强制继承
委派：可以针对个人拒绝策略

域组策略的叠加效果：
若多个容器的策略不冲突，最终策略是所有组策略总和
若出现冲突，则后应用的组策略覆盖先应用的组策略

应用顺序：
LSDOU:后面优先级高
本地组策略对象：local
站点组策略：site
域组策略：domain
若当前计算机或用户属于某个OU

作业：组策略管理编辑器中计算机配置和用户配置的区别
计算机配置只针对容器中的计算机生效
用户配置只针对容器中的用户生效