难道域控制器安全策略的优先级没有域安全策略大??

tutuit

在域控制器安全策略[/COLOR] 的账户策略中设置账户锁定策略，设置5次无效登陆锁定，锁定时间为10分钟，输入secedit /refreshpolicy machine_policy 马上更新策略，发现本地安全策略中的账户锁定值的“本地设置”为5，有效设置为“没有定义”。刚才定义的域控制器安全策略怎么不起作用？？

注销，故意输错，然后被锁定，但是1分钟后自动解除锁定。

在域安全策略[/COLOR] 的账户策略中设置账户锁定策略，设置5次无效登陆锁定，锁定时间为10分钟，输入secedit /refreshpolicy machine_policy 马上更新策略，发现本地安全策略中的账户锁定值的“本地设置”为5，有效设置为5。怎么域安全策略的设置才算有效设置吗？？

注销，故意输错，然后被锁定，但是1分钟后仍然自动解除锁定。

为什么会这样？？？

suzhouclark

安全策励应用步骤：
LOCAL HOST,---  SITE,----  DOMAIN,----- OU
我估计你是在DC上做测试吧？它是HOST的嘛。

tutuit

最初由 suzhouclark 发布
[B]安全策励应用步骤：
LOCAL HOST,---  SITE,----  DOMAIN,----- OU[/B]

按照这个原则，应该是域控制器安全策略是最高的阿，他会覆盖其他所有的策略才对啊！！那我的域控制器安全策略怎么会不起作用？？

chh

頂，我也想搞清楚......

suzhouclark

LOCAL HOST 最先应用，会第一个被覆盖。

frankpro

在Domain Account Policy中，看本地策略是没有意义的。你应该使用Gpresult来看。

frankpro

How to configure account policies in Active Directory
http://support.microsoft.com/default.aspx?scid=kb;en-us;255550

tutuit

最初由 frankpro 发布
[B]How to configure account policies in Active Directory
http://support.microsoft.com/default.aspx?scid=kb;en-us;255550 [/B]

    晕了，看到这篇文章中有这么一句话：“Note: Because domain controllers do not have local accounts as servers and workstations do, account policies that are defined in the default domain controller\'s organizational unit have no effect.”

  原来在DC上登录的话，默认的域控制器策略是不起作用的，不知道我是不是理解错了上面这句话。

frankpro

No, it means the GPO defined on DC OU does not work when you log on the DC. But the Domain wide account GPO does apply.

tutuit

最初由 frankpro 发布
[B]No, it means the GPO defined on DC OU does not work when you log on the DC. But the Domain wide account GPO does apply. [/B]

还是无法理解！能否解释？

上面这句话的意思是否是说当直接在DC 上登录的时候DC OU上的策略不起作用，当在其他机子上通过网络登录DC的时候，DC OU上的策略就起作用了呢？