проблема с политиками безопасности
 

У меня возникла следующая проблема:
не удается убрать пароль с домена при входе на сервер. Пишет что не удовлетворяет политикам безопасности (ПБ). В ПБ домена выставил что можно убрать пароль, но результата это не дало. А когда заходу менять ПБ системы, просто не могу ничего менять. Все, где должно быть можно выбирать просто закрашено серым цветом, как будто у меня нет прав это менять, хотя заходу под администратором.
Как можно решить эту проблему?

сделай сервак хозяином операций заходи под админом домена и выстави себе в права еще и дебаггер - пробуй через консоль поменять политики (не mmc а именно из CMD) так же попробуй обновить консоль через CMD напиши gpupdate мож поможет...

Default domain policy отвечает за политику безопасности паролей в домене, включая и контроллеры домена.

ydad

А что за машина, на которую ты входишь? Рядовой сервер или контроллер домена?

заблокированно редактирование локальной политики безопасности
 

Инсталировал новый сервер w2k3, поставил AD, логинюсь под администратором но не могу изменить настройки политики паролей, все элебенты управления заблокированны.

машина является контроллером домена, после установки винды на нее больше ничего и не вешали. Точно такая же проблема, как у qpa3ep

Господа, надеюсь, на контроллере домена используете оснастку mmc Политика безопасности домена или AD Users & computers, а не gpedit.msc? На контроллере домена НЕТ локальной политики безопасности.

В политике безопасности AD Users & computers все ограничения на пароль сняты, то есть должно быть можно сделать чтобы домен вообще входил без ввода пароля, но все равно при попытке его снять он отказывает, говорит проверьте ПБ

Групповая политика, которая устанавливается из AD Users & computers на контейнере контроллеры домена (Domain Controllers) имеет более высокий приоритет для контроллеров, чем политика домена по умолчанию. Там посмотрите, что у вас написано там. И не пытайтесь это сделать через gpedit.

Выставил в Domain Controller Security Policy и Domain Security Policy возможность заходить без пароля, но ничего не помагает. Все равно при попытке поставить нулевой пароль просит проверить политики безопасности. Если в службе с наивысшим преоритетом разрешен такой вход, в чем может быть тогда проблема?

Там есть еще параметр "Пароль должен отвечать требованиям сложности" - отключил?

Да, отключил. Может ли быть, что установленные ранение локальные политики безопасности отражаются на работе установленного позже сервера терминалов? В локальных политиках стоят все запреты, а редактирование запрещено

Да ну, вот уж не поверю.

XPurple
Проверьте

monkkey
В оснастках (через пункт Администрирование) локальной политики нет , но gpedit.msc то можно запустить. Т.е. она по-умолчанию скрыта, но не недоступна.
Или вы о чем ?

Добавлена.

Была неточность в моих словах: не в оснастках[безопасности], а в Консоли Управления mmc, но сути ответа это не меняет

XPurple
Попробуйте отредактировать ))) Конечно, запуск gpedit.msc не запрещен
Local Security Policy MMC: This interface is used to configure security settings that apply only to the local computer. It’s accessed via the Administrative Tools menu in Control Panel. Local settings include: password policy, account lockout policy, audit policy, IPsec policy, user rights assignment, and others. Local Security Policy is not used on domain controllers; they are governed by the Domain Controller Security Policy.
http://www.google.ru/search?hl=ru&q=...controller&lr=

Там есть еще фича "Ограничить использование пустого пароля только для консольного входа" (Локальные политики.Параметры безопасности)

5 минут требуется подождать, пока доменные политики применятся к локальной политике контроллера домена.
Как убедиться в этом?
1. Изменить политику в отношении паролей контроллера домена (в политике безопасности контроллера домена).
2. Подождать 5 минут.
3. Запустить gpedit.msc, найти соответствующий пункт и убедиться, что политика изменена.

В Domain Controller Security Policy и Domain Security Policy нужные настроийки были выставлены в течение нескольких загрузок и многих часов работы, и тем не менее в локальных политиках никаких изменений не было

Смотри журнал событий, там наверняка прячутся сообщения об ошибках. Как найдёшь - в студию!

ydad
Да , странно. Проверил у себя - политики в отношении паролей для локальной политики контроллера домена применяются исходя из политики безопасности домена, а не политики безопасности контроллера домена. С чего бы это ? Будем думать.

Есть тема для размышлений.

XPurpleВ отношении ПАРОЛЕЙ так и должно быть.

Даже если это и так, то ydad от этого не легче.
У него на сервере не применяется политика не из политики безопасности контроллера домена, не из безопасности домена.
p.s. Наворотил этот Microsoft, наверное сам уже не помнит, какая политика следует за какой.

О разных политиках паролей для групп в домене: To establish different requirements for a specific set of users, you must create a new domain for their accounts.
Отсюда

Проблема разрешилась следующим образом:
снес полностью Active Directory, после чего получил доступ к редактированию локальных политик, и в них выставил все что нужно. После этого снова поставил AD, в его доменных политиках снова поставил все необходимое и все заработало как полагается!
Как бы там не должны были распределяться преоритеты, а глюков в Windows все равно хватает...

ydad
Классный метод решения проблемы! Все дело в hands.dll