Не работает политика паролей.
 

Всем привет!
Ситуация такая: есть домен на 2008 R2 standart, с помощью консоли групповой политики, на один из контейнеров задал новую групповую политику которой задал: Максимальный и минимальный срок действия пароля, минимальную длину пароля именно для этого контейнера, поставил её принудительно но она почему то не работает, где капать подскажите? как сделать что бы она работала?

откуда наследуется? Может, вышестоящая настройка перекрывает вашу.

посмотрите через rsop.mcs что именно действует.

Если вы хотите применить политику паролей только к одному контейнеру тогда необходимо использовать Fine Grained Password Policy.

Еще в тему: ссылка

Вообще-то она работает, но так как вы распространили ее на OU - то она работает для учетных записей, созданных локально на компьютерах внутри этого OU (меняли то настройки политики в разделе computer configuration, так чего ждать-то, что политика применится к пользователям)
У вас будет ожидаемый результат, если вы поменяете настройки в политике DDP или DDCP или, как сказали выше использовав Fine Grained Password Policy при режиме работы домена не ниже WS 2008.

Ребят я разобрался причина бональна, оказытся стояла галка "Срок действия пароля учетной записи не ограничен".
у всех по убирал эту галку и все заработало.
Всем спасибо, статьи очень интересны сохранил для себя.

Решили Настроить централизованно одну общую политику паролей, на весь домен.
поетому взяли дефолную политику и там пока для теста выстовили так:


больше ни каких кроме дефолтной политики нет. так что ни кто ничего не перекрывает.

и решили проверить получится ли сменить пароль, при смени встречает такое сообщение: "Не удается обновить пароль. Введенный пароль не обеспечивает требованиям домена к длине пароля, его сложности и истории обновления"

gpupdate /force на машине НЕ помогает.

подскажите в чем загвоздка где копать??

"Не определено" означает "оставить, как было". Если раньше было сказано "вести историю 5 последних паролей", то настройка "не определено" просто сохраняет текущее положение вещей, а не переопределяет его.

Более того, положение "не определено" позволяет локальной политике взять верх. А что в ней?

т.е. Локальна на домене прекрывает дефолтную по паролям если значение не определено стоит???

выглядит так:

Отчего так?

Локальная на машине не перекрывает доменную, когда доменная есть. У Вас доменная не определена. Потому используется только локальная. О чём и было сказано выше.

ЛОКАЛЬНАЯ на конкретной машине получается???

и что означает параметр
"Связь включена"
и
"Принудительный"

???

просто разницы не вижу. что принудительно что без... не работает ни так ни так.

выставил значения:


выдает тоже сообщение.... что не возможно обновить.

goldsmith,
Покажите скрин политики где показано к каким объектам применяется политика и фильтр безопасности для данной политике покажите.

Политика, Файрвол в ней отключен брэндмауэр больше нет никаких настроек.

goldsmith,
К OU Domain Controllers какие политики применяются?

Telepuzik,

goldsmith, скажите, пожалуйста — какова цель вашей политики? Беспарольный вход по всему домену?

snark,
нет, цель наоборот сделать политику для всего домена.
длина минимум 6
срок действия месяц.
что бы напоминал о смене пароля. и т.д.
я в плане эксперимента это сделал.
просто какой то сыр бор с паролями с этими кто может менять кто не может, кто то может поставить пароль, кто то сложный.
вроде всего две политики и все. но она не работает и то.

goldsmith, какие это "две политики"?
Политика для всего домена делается в ветке "Default Domain Policy — Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Политики учетных записей — Политика паролей". Выставьте как на скриншоте (только укажите 30 дней и 6 знаков)



Всё, более ничего не нужно делать, политика пойдет на всех прошедших проверку в домене (и на контроллеры тоже, они берут политику паролей именно из Default Domain Policy, а не из Default Domain Controllers Policy).
Хотите сделать отдельную настройку (скажем, длина пароля или сложность) для отдельной доменной группы — настраиваете политику PSO (ссылки на первой странице темы были). Но это при том условии, что функциональный уровень домена у вас не ниже 2008.

Чтобы система напоминала о смене пароля: Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности — Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее. По умолчанию этот срок составляет 14 дней.

snark, с данной настройкой получается пользователь сможет сменить пароль через 90 дней???

когда создаю учетку ставлю к примеру пароль: 123456789

позже пользователь хочет сменить на свой длинный его посылает нафиг... правильно я понял??

Нет, пользователь сможет сменить пароль через 1 день, обязан будет сменить через 90 дней.
Нет не сможете т.к. включена политика что пароль должен отвечать требованиям сложности.
Пользователь сможет поставить себе пароль через 1 день, любой который будет соответствовать политике паролей и сможет менять пароли не чаще чем раз в сутки.

Тут важна не просто длина пароля. Под "требованиями сложности" понимается следующее: есть четыре группы символов — строчные буквы (a-z), прописные (A-Z), цифры (0-9) и знаки (/*-!"@ и пр.) — и для создания "сложного" пароля необходимо задействовать не менее трех групп символов из четырех.

Новая ссылка http://blog.it-kb.ru/2011/01/17/ad-d...-objects-psos/