[решено] GPO - Изменения политики паролей не применяются на клиентах
 

День добрый!

Проблема следующая. Установлена система Windows 2003 Server Enterprise Edition SP1.
Один из режимов сервера - контроллер домена.
Все хорошо, но только вот изменения групповой политики домена почему-то не воспринимаются. Т.е. при задании юзеру пароля, требуется соблюдать "cimplexity requirements", хотя в политике это отключено.

Политика следующая:

Policy Policy Setting

Enforce password historн ----------------------- 0 passwords remembered
Maximum password age ------------------------- 365 days
Minimum password agу ------------------------- 0 days
Minimum password length ----------------------- 1 characters
Password must meet complexity requirements ---- Disabled
Store passwords using reversible encryption ------ Disabled

Пробовал создавать новые политики и задействовать их - безрезультатно.

Если кто что знает - выручайте...

Secedit /?- пробовали ...??
или принудительно обновить Gpupdate /?

Только что попробовал

gpupdate /force

Никаких изменений. =(

rooty
возьмите с www.microsoft.com утилиту GPMC (Group Policy Managment Console) и выполняем анализ работы групповых политик.
в частности для режима требования сложности мы сможем увидеть какая политика домена его включает. потом найти ее в домене и настроить как необходимо.

что это за политика? куда он прилинкована (домен или отдельное ОУ), какие еще политики есть в домене (или даже внутри этого ОУ).
Думаю, что требования сложности у вас настраивает политика безопасности домена по умолчанию (Defaul Domain Security Policy - доступная для изменения через Administrative tools), а вы , возможно, создали собственную политику, но ее приоритет ниже чем у встроенной, поэтому ее настройки (которые вы привели) и не применяются. В приципе и это решается. только нужно знать сколько политик у вас и где они.

Кроме того Windows Server 2003 имеется встроенный инструмент анализа политик - оснастка Resultant Set of Policy (доступ к ней через консоль MMC.EXE), которая является облегченной версией анализатора GPMC

RaZZoRRoнельзя его пробовать - тк используется Windows Server 2003, а в ней обновление политики только через команду gpupdate

Огромная СПАСИБА!!!

Скачал GPMC. Там сразу стало видно, что стоит фильтр на политику. Почему-то Defaul Domain Security Policy применялась только для администраторов домена. Добавил всех, затем: gpupdate /force. Теперь все замечательно.

Еще раз огромное спасибо за оперативную помощь!

2 SkyF
вы правы ... secedit ... нельзя использовать..

почему нельзя? можно и даже нужно =)
если имеется ввиду:
а если Secedit используется для:
почему нет?

в данном случае нельзя. тк нужно обновлять именно доменную политику.
в XP и 2003 это можно сделать только при помощи gpupdate.

secedit в этих системах уже не содержит ключа /refreshpolicy
в том-то и соль, что у rooty такой необходимости нет.

по дальнейшим вопросам обсуждения применения ОГП лучше идти вот сюда:
fix! ошибка 1024 Userenv Проблема с приминением GPO на членах домена.
тему пока не закрываю, но продолжайте там.

спасибо.

HELP ! Проблемы политики безопасности в домене
 

Домен WIN2000 SP3 (контроллер)+WIN2000 SP3, WIN2003(сервер)+AD+DHCP+DNS
Клиенты WIN98SE, WIN XP PRO (SP1)
Проблема вот в чём:
Не применяется политика безопасности в домене.
Устанавливаю политику паролей
длину пароля, время жизни и т.д.
Толку от этого ноль.
Хотя ранее работало. Не может быть такого, что на это повлияло включение
WIN2003 серверов в домен ?
Может есть соображения ??

rooty
Спасибо за оперативность.
Эту ссылку я видел, да вот только не понял как запустить
GPMC (Group Policy Managment Console)
на 2000 контроллере.
И почёму подломилось, вроде ничего не трогал уже давно.

Или не не обязательно на контроллере ?

gpresult запускали? Что пишется?

ЗЫ А PDC последние дни не перегружали?

rooty
Результат gpresult:

Microsoft (R) Windows (R) 2000 Operating System Group Policy Result tool
Copyright (C) Microsoft Corp. 1981-1999


Created on 19 октября 2005 г. at 13:14:23


Operating System Information:

Operating System Type: Domain Controller
Operating System Version: 5.0.2195.Service Pack 4
Terminal Server Mode: Remote Administration

###############################################################

User Group Policy results for:

CN=Administrator,CN=Users,DC=SRV,DC=local

Domain Name: SRV
Domain Type: Windows 2000
Site Name: Default-First-Site-Name

Roaming profile: (None)
Local profile: C:\Documents and Settings\Administrator

The user is a member of the following security groups:

SRV\Пользователи домена
\Все
BUILTIN\Администраторы
BUILTIN\Пользователи
SRV\AIS
SRV\Владельцы-создатели групповой политики
SRV\Администраторы домена
SRV\Администраторы схемы
SRV\Администраторы предприятия
\ЛОКАЛЬНЫЕ
NT AUTHORITY\ИНТЕРАКТИВНЫЕ
NT AUTHORITY\Прошедшие проверку


###############################################################

Last time Group Policy was applied: 19 октября 2005 г. at 13:13:52



###############################################################

Computer Group Policy results for:

CN=SERVER1,OU=Domain Controllers,DC=SRV,DC=local

Domain Name: SRV
Domain Type: Windows 2000
Site Name: Default-First-Site-Name


The computer is a member of the following security groups:

BUILTIN\Администраторы
\Все
BUILTIN\Пользователи
NT AUTHORITY\СЕТЬ
NT AUTHORITY\Прошедшие проверку
SRV\SERVER1$
SRV\Контроллеры домена
SRV\Издатели сертификатов
NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ

###############################################################

Last time Group Policy was applied: 19 октября 2005 г. at 13:11:12
Group Policy was applied from: server1.SRV.local


===============================================================


The computer received "Registry" settings from these GPOs:

Политика локальной группы


===============================================================
The computer received "Security" settings from these GPOs:

Политика локальной группы
Отказ регистрации
Default Domain Controllers Policy


===============================================================
The computer received "EFS recovery" settings from these GPOs:

Политика локальной группы
********************************************



Кажется криминала не видно ?
оказывается SP4 (уже забыл) - не влияет ?
перевод домена из смешанного в основной - не влияет ?
перезагрузка PDC ничего не дает, да и явно PDC в WIN2000 как в NT4 нет
rooty

Елси я правильно понял, то вы запускали gpresult на контроллере под пользователем "Administrator". А вы проверяли применяется ли ваша политика для этого пользователя на контроллере? Попробуйте посмотреть параметры gpresult для пользователя и компьютера, с которомыми заведомо есть проблема с политикой.

Прошу прощения за долгое отсутствие, работы не в проворот.

rootyИменно так. А не применяется политика нигде, а именно 120-140 клиентов WIN98, WIN XP


??? В чём проблемы. По моим постам вроде подобного ничего небыло.

AlikPanво-первых, укажите где вы эти изменения вносить, ЧТо за объект групповой политики?
ккда он прилинкован (на какое подразделение, уровень домена), есть ли еще другие ОГП на этом уровне?

во-вторых, настройки которые изменяюте - настраиваются только для уровня всего домена, на уровне подразделения этого сделать нельзя (это может быть одной из причин вашей ситуации)

в-третьих, GPMC, кажется можено установить на XP клиента домена (почитайте доку по этому инструменту).

в-четверых, в самой XP - есть консоль проверки применения ОГП на этого клиента - rsop.msc


GPMC вам смогла бы помочь от того что она показывает какой ОГП из домена определяет тот или иной параметр безопаснсости.
и вы бы смогли увидеть - кто конкретно контролирует назначение и ограничение политик для клиентов.

и еще , вот вы привели результат gpresult, а где в этом отчете название тех политик, которые применяются для пользоввателя и компьютера? нет их пусто.. ни одна из политик не применяется что-ли?

SkyF
точно есть
именно так и оказалось
Всё, вроде разобрался. Спасибо. Можно тему закрыть.

Политика паролей
 

Здравствуйте !!!
Подскажите пожалуйста в чем может быть проблема.
Выставляю политику домена Default Domain Policy, а иммено палитику паролей (на остальное это не распространяется) и через некоторое время она меняет самопроизвольно значение на установленное ранее. В чем может быть проблема и как ее отследить.
Заранее спасибо жду ответов.

Не очень понятно.
Наверно, в Default Domain Policy определяете политику паролей, а остальное не трогаете.
Политика может храниться не на одном сервере, если домен-контроллеров несколько.
Политика может изменяться на конкретном сервере в двух случаях:
1. Администратор вручную определяет новую политику.
2. После синхронизации с другим DC, если номер версии политики больше.
Отсюда варианты:
1. Другой администратор переопределил политику.
2. На другом сервере есть политика с большим номером версии (почти фантастика, учитывая регулярность.
Правда возможен вариант, что у Вас, как у адмнистратора, есть право изменить политику, но нет права изменить номер версии, хранящийся в другом файле, - это как раз и есть фантастика)
3. Сразу после Вас некто на другом сервере определяет другую политику, номер версии которой оказывается больше и Ваши изменения не применяются (вовсе невероятно).

Проверял версии политики на всех контроллерах домена, на каких старая а на каких новая. Вопрос - она должна быть на всех одинаковая?
Политику я изменяю на том где новая.

Изменяй на PDC и политика расползется на подчиненные

Изменяю политику на основном контроллере домена, она расползается на все остальные. Заметил странную вещь - сбрасывается политика только днем во время репликаций. Есть какие нибудь средства мониторинга политики т.е. можно отследить кто и когда ее изменил?

Помогите решить проблему, в сети 2 КД. Месяца два назад, установили политику на пароли, не менее 6 символов и сложность. Сейчас нужно всё вернуть обратно. В политике поменял. Но при создании учётки и задании пароля, пишет не могу установить пароль, он не отвечает заданной политике. Помогите плиз, очень надо!!! Вернул обратно на двух, КД, серваки перезагружались.

Какую политику меняли?

Менял политику безопасности домена. Обратно менял и в политике безопасности контроллера домена!

Политика паролей из Domain Policy распространяется и на контроллеры. GPMC в помощь.

Собственно интересует ответ, и способы как всё вернуть. А в GPMC где искать?

Для начала научитесь пользоваться поиском по форуму, а заодно прочитайте статью:

Консоль управления групповой политикой для Windows Server 2003

Smax-83
http://search.microsoft.com/results....-US&FORM=QBMH1