Вопрос или проблема
Я настраиваю учетные записи пользователей для устройств MAB (обход аутентификации Mac) в своей сети. В GPO я создал OU для создания учетных записей устройств с отключенным наследованием, чтобы политика паролей не применялась к учетным записям устройств. Политика паролей применяется к Контроллеру домена. Когда я пытаюсь создать учетную запись для устройства, имя пользователя/пароль должны быть MAC-адресом устройства. Проблема в том, что даже при отключенном наследовании в OU, когда я пытаюсь создать учетную запись пользователя в этом OU, политика паролей все равно применяется. Без отключения политики паролей, есть ли способ создать учетную запись пользователя для устройства MAB?
Политика паролей, применяемая к контроллерам домена, влияет на всех пользователей в домене, независимо от того, где вы их размещаете в дереве Active Directory. Наследование OU не имеет никакого отношения.
Вы можете использовать тонкие настройки политик паролей, чтобы применять различные политики паролей к конкретным пользователям (или группе пользователей).
Ответ или решение
Вопрос о том, действует ли политика паролей доменной контроллера (DC) на учетные записи пользователей в OU с блокировкой наследования, имеет важное значение для настройки учетных записей устройств, таких как MAB (Mac Authentication Bypass).
Политика паролей, применяемая к доменным контроллерам, действительно затрагивает всех пользователей в домене, независимо от того, где они расположены в иерархии Active Directory. Блокировка наследования в OU не влияет на данное положение.
Чтобы решить вашу проблему с созданием учетной записи для устройства MAB с использованием его MAC-адреса в качестве пароля, вы можете воспользоваться "параметрами политик паролей с тонкой настройкой" (fine-grained password policies). Эти политики позволяют применять различные правила для конкретных пользователей или групп пользователей в пределах одного домена.
Вот шаги, которые помогут вам настроить тонкие политики паролей:
-
Создание группы для устройств MAB: Создайте новую группу в вашей Active Directory и добавьте туда учетные записи устройств, для которых вы хотите применить специальную политику паролей.
-
Настройка политики паролей:
- Откройте "Active Directory Administrative Center".
- Перейдите в раздел "Active Directory" и затем выберите вашу доменную базу данных.
- Выберите "Password Settings Container" и создайте новую политику паролей для вашей группы устройств MAB.
- Задайте параметры для политики, включая минимальную длину пароля и другие требования, если они необходимы.
-
Применение тонкой политики: После создания политики убедитесь, что вы назначили её на группу, которую вы создали для устройств MAB. Это позволит использовать специфическую политику паролей для пользователей в этой группе.
-
Создание учетных записей: Теперь вы сможете создать учетные записи для ваших MAB-устройств, используя MAC-адрес в качестве пароля, без ограничения, установленного политикой паролей доменного контроллера.
Важно помнить, что изменения в политиках паролей могут занять некоторое время для применения, поэтому будьте готовы подождать немного перед тем, как проверять новые настройки.
Таким образом, используя параметры политик паролей с тонкой настройкой, вы можете эффективно управлять требованиями к паролям для учетных записей устройств, не отключая общую политику паролей на уровне домена.