PREMESSA

In tutti i manuali Microsoft viene specificato che la account e password policy di un dominio DEVE essere linkata a livello di dominio, senza però approfondire la questione. La domanda più ovvia è se una eventuale policy linkata alla OU Domain Controllers possa "sovrascrivere" le impostazioni della policy impostata a livello di dominio.

La risposta ufficiale di Microsoft arriva nell'articolo KB259576 dove si specifica in maniera chiara ed inequivocabile che quando i Domain Controller devono applicare una policy prendono alcune impostazioni (ed in particolare quelle relative all'account e password policy) direttamente dalle policy linkate a livello di dominio (rispettando solo l'eventuale priorità) infischiadone quindi di eventuali altri settaggi impostati a livello delle OU Domain Controllers.


APPROFONDIMENTO

Dato che di secondo nome faccio Tommaso ho voluto "toccare con mano" quello che Microsoft dichiara per vedere cosa realmente accade, limitandosi ad una parte delle impostazioni ed in particolare alla password policy
Iniziamo dalla situazione standard, ovvero Domain Controller fresco di installazione predefinita e facciamo girare un bel GPEDIT.MSC per vedere cosa si prende il DC:

 

dompolicy1
Dall'immagine si evince che le impostazioni elencate sono non definite nella policy locale bensi ereditate da una qualche policy di dominio e, con un veloce RSOP.MSC, si vede che la policy applicata è la Default Domain Policy.

 

dompolicy2 
A questo punto possiamo provare a creare una policy nella OU Domain Controllers tanto per vedere che le relative impostazioni vengono ignorate:
 
dompolicy3 
Nell'esempio ho creato una policy denominata pass policy 1 con impostazioni diverse da quelle predefinite: il risultato è stato che comunque questa policy non è stata assolutamente considerata, continuando ad applicare la Default Domain Policy. Ergo:eventuali policies linkate nella OU Domain Controllers non vengono considerate per quanto riguarda la password/account policy.

Queste prove potrebbero essere sicuramente sufficienti, ma rimane un dubbio: cosa succede se si blocca l'ereditarietà alla OU Domain Controllers? Facciamo una prova e vediamo cosa accade:
 

dompolicy4

Rieseguendo il GPEDIT.MSC sul domain controller si ottiene questo risultato:
 
dompolicy5

Ora, forse la differenza potrebbe non essere subito chiara, ma guardando le icone si nota qualcosa ddi diverso: in particolare quello che sta dicendo il GPEDIT.MSC è che la Default Domain Policy ha "scritto permantentemente" le impostazioni nella policy locale del domain controller. Non solo: dato che adesso l'ereditarietà è bloccata, eventuali modifiche alla Default Domain Policy  non verranno applicate ai domain controller a causa del blocco dell'ereditarietà.

Riepilogando: i Domain controller elaborano le impostazioni riguardanti la password e gli account prendendo in considerazioni solo le policy linkate a livello di dominio: queste impostazioni vengono poi scritte nella policy locale dei domain controller che quindi sono in grado di applicarle anche se queste policy vengono "scollegate", ad esempio cancellando le policy oppure bloccando l'ereditarietà nella OU Domain Controllers.