[решено] GPO - Изменения политик паролей не применяются на клиентах

AlikPan · Отправлено: **11:17, 19-10-2005** | #11

Домен WIN2000 SP3 (контроллер)+WIN2000 SP3, WIN2003(сервер)+AD+DHCP+DNS
Клиенты WIN98SE, WIN XP PRO (SP1)
Проблема вот в чём:
Не применяется политика безопасности в домене.
Устанавливаю политику паролей
длину пароля, время жизни и т.д.
Толку от этого ноль.
Хотя ранее работало. Не может быть такого, что на это повлияло включение
WIN2003 серверов в домен ?
Может есть соображения ??

AlikPan · Отправлено: **12:07, 19-10-2005** | #12

rooty
Спасибо за оперативность.
Эту ссылку я видел, да вот только не понял как запустить
GPMC (Group Policy Managment Console)
на 2000 контроллере.
И почёму подломилось, вроде ничего не трогал уже давно.

AlikPan · Отправлено: **12:08, 19-10-2005** | #13

Или не не обязательно на контроллере ?

rooty · Отправлено: **12:37, 19-10-2005** | #14

gpresult запускали? Что пишется?

ЗЫ А PDC последние дни не перегружали?

AlikPan · Отправлено: **13:25, 19-10-2005** | #15

rooty
Результат gpresult:

Microsoft (R) Windows (R) 2000 Operating System Group Policy Result tool
Copyright (C) Microsoft Corp. 1981-1999

Created on 19 октября 2005 г. at 13:14:23

Operating System Information:

Operating System Type: Domain Controller
Operating System Version: 5.0.2195.Service Pack 4
Terminal Server Mode: Remote Administration

###############################################################

User Group Policy results for:

CN=Administrator,CN=Users,DC=SRV,DC=local

Domain Name: SRV
Domain Type: Windows 2000
Site Name: Default-First-Site-Name

Roaming profile: (None)
Local profile: C:\Documents and Settings\Administrator

The user is a member of the following security groups:

SRV\Пользователи домена
\Все
BUILTIN\Администраторы
BUILTIN\Пользователи
SRV\AIS
SRV\Владельцы-создатели групповой политики
SRV\Администраторы домена
SRV\Администраторы схемы
SRV\Администраторы предприятия
\ЛОКАЛЬНЫЕ
NT AUTHORITY\ИНТЕРАКТИВНЫЕ
NT AUTHORITY\Прошедшие проверку

###############################################################

Last time Group Policy was applied: 19 октября 2005 г. at 13:13:52

###############################################################

Computer Group Policy results for:

CN=SERVER1,OU=Domain Controllers,DC=SRV,DC=local

Domain Name: SRV
Domain Type: Windows 2000
Site Name: Default-First-Site-Name

The computer is a member of the following security groups:

BUILTIN\Администраторы
\Все
BUILTIN\Пользователи
NT AUTHORITY\СЕТЬ
NT AUTHORITY\Прошедшие проверку
SRV\SERVER1$
SRV\Контроллеры домена
SRV\Издатели сертификатов
NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ

###############################################################

Last time Group Policy was applied: 19 октября 2005 г. at 13:11:12
Group Policy was applied from: server1.SRV.local

===============================================================

The computer received "Registry" settings from these GPOs:

Политика локальной группы

===============================================================
The computer received "Security" settings from these GPOs:

Политика локальной группы
Отказ регистрации
Default Domain Controllers Policy

===============================================================
The computer received "EFS recovery" settings from these GPOs:

Политика локальной группы
********************************************

Кажется криминала не видно ?
оказывается SP4 (уже забыл) - не влияет ?
перевод домена из смешанного в основной - не влияет ?
перезагрузка PDC ничего не дает, да и явно PDC в WIN2000 как в NT4 нет
rooty

rooty · Отправлено: **08:52, 20-10-2005** | #16

Елси я правильно понял, то вы запускали gpresult на контроллере под пользователем "Administrator". А вы проверяли применяется ли ваша политика для этого пользователя на контроллере? Попробуйте посмотреть параметры gpresult для пользователя и компьютера, с которомыми заведомо есть проблема с политикой.

AlikPan · Отправлено: **16:55, 21-10-2005** | #17

Прошу прощения за долгое отсутствие, работы не в проворот.

rooty

Цитата:

Елси я правильно понял, то вы запускали gpresult на контроллере под пользователем "Administrator". А вы проверяли применяется ли ваша политика для этого пользователя на контроллере? Попробуйте посмотреть параметры gpresult для пользователя и компьютера, с которомыми заведомо есть проблема с политикой.

Именно так. А не применяется политика нигде, а именно 120-140 клиентов WIN98, WIN XP

Цитата:

не нужно заниматься самомодерацией
если вы хотите сообщить модераторам что либо,
воспользуйтесь соотв. возможностью и отправьте личное сообщение

??? В чём проблемы. По моим постам вроде подобного ничего небыло.

SkyF · Отправлено: **12:55, 22-10-2005** | #18

AlikPan

Цитата:

Не применяется политика безопасности в домене.
Устанавливаю политику паролей
длину пароля, время жизни и т.д.
Толку от этого ноль.
Хотя ранее работало. Не может быть такого, что на это повлияло включение
WIN2003 серверов в домен ?
Может есть соображения ??

во-первых, укажите где вы эти изменения вносить, ЧТо за объект групповой политики?
ккда он прилинкован (на какое подразделение, уровень домена), есть ли еще другие ОГП на этом уровне?

во-вторых, настройки которые изменяюте - настраиваются только для уровня всего домена, на уровне подразделения этого сделать нельзя (это может быть одной из причин вашей ситуации)

в-третьих, GPMC, кажется можено установить на XP клиента домена (почитайте доку по этому инструменту).

в-четверых, в самой XP - есть консоль проверки применения ОГП на этого клиента - rsop.msc

GPMC вам смогла бы помочь от того что она показывает какой ОГП из домена определяет тот или иной параметр безопаснсости.
и вы бы смогли увидеть - кто конкретно контролирует назначение и ограничение политик для клиентов.

и еще , вот вы привели результат gpresult, а где в этом отчете название тех политик, которые применяются для пользоввателя и компьютера? нет их пусто.. ни одна из политик не применяется что-ли?

AlikPan · Отправлено: **08:21, 25-10-2005** | #19

SkyF

Цитата:

в-четверых, в самой XP - есть консоль проверки применения ОГП на этого клиента - rsop.msc

точно есть

Цитата:

и еще , вот вы привели результат gpresult, а где в этом отчете название тех политик, которые применяются для пользоввателя и компьютера? нет их пусто.. ни одна из политик не применяется что-ли?

именно так и оказалось
Всё, вроде разобрался. Спасибо. Можно тему закрыть.

Профиль · Отправлено: **07:30, 07-04-2006** | #20

Здравствуйте !!!
Подскажите пожалуйста в чем может быть проблема.
Выставляю политику домена Default Domain Policy, а иммено палитику паролей (на остальное это не распространяется) и через некоторое время она меняет самопроизвольно значение на установленное ранее. В чем может быть проблема и как ее отследить.
Заранее спасибо жду ответов.