Cum se aplica Accounts Policy pe Domain Controllere

Am fost invatati de pe vremea lui Windows 2000, ca putem avea o singura politica de parole la nivel de domeniu, definita in Default Domains Policy. Mai exact vorbim de Accounts Policy nu doar de politica de parole. Incepand cu Windows 2008, lucrurile s-au schimbat si a fost introduse Fine Grained Password Policies dar mai multe intr-un alt post.

In continuare si in Windows 2008, daca nu folosim Fine Grained Password Policies, se aplica setarile din politica de domeniu.

Nu de putine ori am vazut admini incercand sa seteze Accounts Policy in politica ce se aplica pe containerul Domain Controllers – Default Domain Controllers Policy. Setarile puse acolo nu au nici un efect. Si o sa explic si de ce.

Da, stiu, putem seta pe un alt OU care contine computer accounturi, Accounts Policy, dar setarile se vor aplica si vor avea efect doar pentru conturile locale, iar cele de domeniu folosite pe acele masini nu vor fi afectate. Cum domain controllerele nu au conturi locale, mecanismul asta nu se aplica. Domain controllerele citesc Accounts Policy numai din politica de domeniu si ignora orice altceva setat intr-o politica legata de containerul Domain Controllers sau alt OU.

In afara de Accounts Policy se mai citesc din politica de domeniu si urmatoarele aflate Security Settings/Local Policies/Security Options:

Accounts: Administrator account status
Accounts: Guest account status
Accounts: Rename administrator account
Accounts: Rename guest account
Network security: Force logoff when logon hours expire

Pentru intrebari va astept pe forum.