|
Поставил Security Configuration and Analysis MMC
создал базу данных на темлейтеsecuredc.inf все это на DC сделал Analyze Comuter Now B Security Configuration=>Account Policies=>Account lockout threshold в столбце Database Settings находится 5 invalid logons attempts а в столбце Computer Settings находится 0 invalid logon attempts открываю Local Security Settings ставлю Account Policies=>Account lockout threshold на 5 invalid logons attempts то же самое значение ставлю в Domain Controller Security Settings Снова в Security Configuration and Analysis MMC делаю Analyze Comuter Now и получаю тот же результат B Security Configuration=>Account Policies=>Account lockout threshold в столбце Database Settings находится 5 invalid logons attempts а в столбце Computer Settings находится 0 invalid logon attempts т.е. ничего не изменилось Почему ? [s]Исправлено: Narcom, 18:00 2-09-2003[/s] |
Это связано с тем, что параметры политики учетных записей (Account Policies) регулируются только на уровне домена.
Т.е. другими словами они изменяются в политике Domain Security Settings и не переопределяются на уровнях ОУ (а вы как раз это и пытались сделать, тк Domain Controller Security Settings *это групповая политика, прилинкована к ОУ Domain Controllers) PS не забывайте выполнять команду secedit /refreshpolicy machine_policy /enforce после изменения политик, тк политики обновляются каждые 5 минут по умолчанию. |
SkyF
и в Domain Security Settings и в Local Security Settings одинаковые настройки (т е Account lockout threshold = 5) Но Security Configuration and Analysis MMC показывает что Security Configuration=>Account Policies=>Account lockout threshold в столбце Database Settings находится 5 invalid logons attempts а в столбце Computer Settings находится 0 invalid logon attempts изменения я сделал вчера затем сегодня применил secedit /refreshpolicy machine_policy /enforce но ничего не изменилось что не правильно ??? |
Есть ли другие политики в вашем домене кроме двух стандартных?
Если есть, то где они прописаны и в каком порядке следуют? Не применяются политики только на одном клиенте домена или на всех? те при значении 0 записи никогда не блокируются? после secedit - что пишется в журнал приложений? успешное обновление политики или нет? какой СП установлен? |
SkyF
как я понял в Domain Security Settings Domain Controller Security Settings Local Security Setting все было по дефолту Domain Security Settings - высший приоритет реально блокировку аккаунтов не проверял а использовал Security Configuration and Analysis MMC после secedit - в журнал приложений пишет что политика применена успешно только при повторной проверки с Security Configuration and Analysis MMC все без изменений. после reload все Ok! SP4 + updates да и еще я здесь потестировал немного сначала все после каждого опыта reload проверка результатов - Security Configuration and Analysis MMC опыт 1 Local Security Setting блокировку аккаунтов = 5 Domain Controller Security Settings блокировку аккаунтов = 0 Domain Security Settings блокировку аккаунтов = 0 результат - блокировка аккаунтов = 5. опыт 2 Local Security Setting блокировку аккаунтов = 5 Domain Controller Security Settings блокировку аккаунтов = 4 Domain Security Settings блокировку аккаунтов = 0 результат - блокировка аккаунтов = 5. опыт 3 Local Security Setting блокировку аккаунтов = 5 Domain Controller Security Settings блокировку аккаунтов = 4 Domain Security Settings блокировку аккаунтов = 6 результат - блокировка аккаунтов = 6. итог: Domain Security Settings - высший приоритет Поэтому возникает вопрос достаточно ли использовать только Domain Security Settings и почему не срабатывает secedit каждый раз reload это непозволительная роскошь. |
Guest - Это я Narcom
secedit /refreshpolicy machine_policy /enforce не помогает хотя в логе пишет мол групповая политика применена успешно Security policy in Group policy object are appllied successfuly event ID 1704 только вот к чему применена политика к Domain Security Settings или Domain Controller Security Settings или Local Security Setting ??? [s]Исправлено: Narcom, 20:51 3-09-2003[/s] |
Цитата:
Цитата:
и приоритет у нее будет выше, по всем параметрам, по которым возникает конфликты. Вот только если мы настроим политику блокировки тут - она не будет применена к доменным контроллерам, тк эта политика на уровне ОП (Domain Controllers). И ещё, не забывайте, что есть ещё 2 особенности. во-первых: разчно значения параметров "не задан" и "N попыток".. те если указано "не задан" - то не будут переопределяться значения заданные предыдущими политиками (например те , что указаны в Local sec settings). во-вторых: настройки безопасности остаются такими, какими мы их задали. Т.е. если сначала указали (в доменной политике по умолчанию) 5 попыток входа, перезагрузились - стало 5 попыток, а потом сменили режим (там же) на "не задан" - то и останется как и было указано ранее , те 5 попыток и 5 попуток будет удерживаться до тех пор пока мы не укажем ВНОВЬ и ЯВНО вместо "не задан" - какое-либо другое значение. Цитата:
они применяются к компьютерам и учетным записям. но на разных уровнях. на клиентах: -локальная , а затем -доменная по умолчанию на контроллерах -локальная , а затем -доменная по умолчанию, а затем -доменная по умолчанию для контроллеров (только парам без-ти остаются такие же как указаны в доменная по умолчанию) |
SkyF
Спасибо за объяснения пойду читать про AD |
| Время: 13:39. |
Время: 13:39.
© OSzone.net 2001-