Политики учетных записей-политика паролей
 

Win2003+Win7

не работает политика учетных записей.

Все настроено по фен-шую, политика Default Domain Policy висит на домене,
Срок действия - 3 дня
Минимальный срок действия - 1 день

На пк политика применяется что можно наблюдать в RSOP и политика работает на локальных учетных записях. На доменные же учетные записи никаких принудительных запросов о смене пароля пользователи не получают.

Замечена странность - по истечении срока пароля пароли начинают приниматься не с первого раза при логине или разблокировке. Но никакого отваливания ресурсов не наблюдается.
Так же еще замечено при ручной смене пароля пользователем бывает возникает ошибка "неверное имя пользователя".


Пробовал подменять политики на Sysvol взяв с дефолтного сервера что не дало никакого результата.

Может кто сталкивался...

Вы уверены что у вас родная политика Default Domain Policy?

Ваша ситуация типична когда политика пересоздана, вернее родная удалена а создана одноименная политика.
Поэтому действие и распространяется только на локальные учетные записи.

Если факт замены политики был то придется делать бэкап а потом восстанавливать дефолтовые политики с помощью утилиты dcgpofix
http://technet.microsoft.com/ru-ru/query/cc772811

DOCznet,
Действие политики распространяется на КД?

Default Domain Policy не распространяется и не должна распространяться на КД


Предположение с удалением политики вероятно. Неделей ранее решил заглянуть в INI файл политики на Sysvol'e и обнаружил что что бы я не менял через оснастку gpmc.msc d INI файле изменений не происходит, хотя изменения политики принимались доменными ПК корректно. После чего я зашел по дефолтному ярлыку в администрировании "Политика безопасности домена", так же увидел что все атрибуты по нулям. Выставил желаемые значения, после чего политика отсинхронилась везде. Но результата это так же не дало.


Попробовал последовать вашему совету - команда отработала успешно, но не сработало...


Есть еще варианты?

Заглянули в файл как? и что там? там максимум что может меняться это номер версии.

Имеется ввиду gpi.ini?

Какие атрибуты по нулям?
Какие значения выставили и где?

Отсинхронизировалась где? Сколько у вас контроллеров?

PS У меня подозрения что вам стоит проверить GUID-ы политик
Default Domain Policy
{31B2F340-016D-11D2-945F-00C04FB984F9}

Default Domain Controllers Policy
{6AC1786C-016F-11D2-945F-00C04fB984F9}

Именно поэтому у вас политика паролей и не работает.
1. Политика паролей должна действовать на контроллеры домена, где учетные записи и хранятся
2. дефолтные политики не стоит изменять, а оставить неизменными
3. создайте свою политику паролей и привяжите ее к OU domain controllers

Ivan Bardeen, Default Domain Policy действует на всех...
Если она родная :)
Если нет то она действует только на локальные учетные записи, на контроллерах их естественно нет.

В 2003-м домене может быть только одна парольная политика т.е. Default Domain Policy, все остальные будут действовать только на локальные учетки.

Автор, проверьте родные ли GUID-ы от политик. Если нет то для восстановления изначальных настроек используйте dcgpofix.

ЗЫ куда у вас прилинкована Default Domain Policy. Меня смущает что она у вас не действует на контроллеры...
Может у вас запрещено наследование или контроллеры перемещены из стандартного OU?

zero55,
Откуда этот бред, простите?

Вот здесь, в частности написано http://technet.microsoft.com/en-us/l.../cc875814.aspx
"It is a best practice to avoid modifying these built-in GPOs, if you need to apply password policy settings that diverge from the default settings, you should instead create a new GPO and link it to the root container for the domain or to the Domain Controllers OU and assign it a higher priority than the built-in GPO: If two GPOs that have conflicting settings are linked to the same container, the one with higher priority takes precedence."

И это работает, о чем я безуспешно пока пытаюсь сообщить автору

почему бред?
В домене Widnows 2003 может быть только одна парольная политика и желательно (я не говорю что обязательно) ее настроить в Default Domain Policy. Политика может задаваться ТОЛЬКО на уровне домена (В 2008-ом механизм изменен и там может быть множество парольных политик). Ни на уровне сайтов, ни на уровне OU политика паролей применяться не будет, а будет просто игнорироваться (при нескольких политиках rsop будет выдавать предупреждение что политика проигнорирована).

http://www.microsoft.com/technet/sec...gch03.mspx#EUE

Account policies, which include password policy, account lockout policy, and Kerberos policy security settings, are only relevant in the domain policy for all three environments that are defined in this guide.

Возможно неприменение политики из за Multihomed http://support.microsoft.com/kb/830513

Кстати... На контейнере Domain Controllers не установлена галка Block Inheritance?

PS оно работает (несколько политик) только в домене на Windows 2008

zero55,
Бред, потому что - бред. Неважно, как вы видите, что настройки политики паролей, должны быть именно в дефолтной политике - как раз ее и не рекомендуется трогать вообще, а создать свою и привязать ее либо к OU Domain controllers или к корню домена. Поймите наконец - что парольные настройки доменных УЗ должны быть применены к контроллерам домена - это причина, все остальное - это следствия.
Про сервера 2008 я вообще не понял зачем вы их сейчас в пример привели? Там поведение абсолютно такое же и по той же причине. Разве что дополнительно парольные политики можно настраивать в объектах PSO.
КД вообще могут находиться в любой OU - тогда политика паролей должна быть применена к OU, где располагаются КД : )

А чето я лохонул...)

Господа, спасибо за советы, понаставил вам плюсов, особенно Ивану за первый ответ "в яблочко".

Действительно контейнер лоченый был. На самом деле еще давно появлялись мысли в эту сторону, но решил не экспериментировать, т.к. в соседнем домене тоже контейнер с контроллерами лоченый и политика с настройками просрочки паролей не форсится, а просрочка паролей работает.
На этот счет была выдвинута теория, что когда-то давно на него распространялась политика, а если брать новые КД, то при их вводе в домен они падали в стандартную оушку и на них так же накатывалась политика... а у меня... ну вот как-то не случилось :)


Еще раз спасибо.

Странно. Последние 10 лет понимал и успешно применял это понимание а тут вдруг все изменилось :) или я что то пропустил и в 2003-м домене стали действовать множественные политики?

Про то что парольные политики должны действовать на контроллеры домена согласен, но есть дофига причин из за которых они могут не действовать.

Если хотите перенести КД из стандартного OU никто не против но Exchange на это сразу отреагирует отказом т.к. он ищет контроллеры только в OU Domain Controllers.

Ну раз вы так категоричны то разбирайтесь.

Автор.
Вы проверяли мои предположения?
Каковы результаты?

Можно и множественные но если вы в них будете изменять одинаковые параметры - то применятся параметры самой приоритетной политики, по правилу LSDOU, и в конце концов если налинкуете их много на OU - то согласно приоритету линков на OU.

Ivan Bardeen, удачи :)
Я все же останусь при своем мнении.