|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Политики учетных записей-политика паролей |
|
|
[решено] Политики учетных записей-политика паролей
|
Пользователь Сообщения: 55 |
Профиль | Отправить PM | Цитировать Win2003+Win7
не работает политика учетных записей. Все настроено по фен-шую, политика Default Domain Policy висит на домене, Срок действия - 3 дня Минимальный срок действия - 1 день На пк политика применяется что можно наблюдать в RSOP и политика работает на локальных учетных записях. На доменные же учетные записи никаких принудительных запросов о смене пароля пользователи не получают. Замечена странность - по истечении срока пароля пароли начинают приниматься не с первого раза при логине или разблокировке. Но никакого отваливания ресурсов не наблюдается. Так же еще замечено при ручной смене пароля пользователем бывает возникает ошибка "неверное имя пользователя". Пробовал подменять политики на Sysvol взяв с дефолтного сервера что не дало никакого результата. Может кто сталкивался... |
|
Отправлено: 09:44, 06-02-2012 |
Ветеран Сообщения: 723
|
Профиль | Сайт | Отправить PM | Цитировать Вы уверены что у вас родная политика Default Domain Policy?
Ваша ситуация типична когда политика пересоздана, вернее родная удалена а создана одноименная политика. Поэтому действие и распространяется только на локальные учетные записи. Если факт замены политики был то придется делать бэкап а потом восстанавливать дефолтовые политики с помощью утилиты dcgpofix http://technet.microsoft.com/ru-ru/query/cc772811 |
Отправлено: 15:07, 06-02-2012 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 1001
|
Профиль | Отправить PM | Цитировать DOCznet,
Действие политики распространяется на КД? |
Отправлено: 15:17, 06-02-2012 | #3 |
Пользователь Сообщения: 55
|
Профиль | Отправить PM | Цитировать Default Domain Policy не распространяется и не должна распространяться на КД
Цитата zero55:
Попробовал последовать вашему совету - команда отработала успешно, но не сработало... Есть еще варианты? |
|
Отправлено: 18:38, 07-02-2012 | #4 |
Ветеран Сообщения: 723
|
Профиль | Сайт | Отправить PM | Цитировать Заглянули в файл как? и что там? там максимум что может меняться это номер версии.
Имеется ввиду gpi.ini? Какие атрибуты по нулям? Какие значения выставили и где? Отсинхронизировалась где? Сколько у вас контроллеров? PS У меня подозрения что вам стоит проверить GUID-ы политик Default Domain Policy {31B2F340-016D-11D2-945F-00C04FB984F9} Default Domain Controllers Policy {6AC1786C-016F-11D2-945F-00C04fB984F9} |
|
Отправлено: 22:50, 07-02-2012 | #5 |
Ветеран Сообщения: 1001
|
Профиль | Отправить PM | Цитировать Цитата DOCznet:
1. Политика паролей должна действовать на контроллеры домена, где учетные записи и хранятся 2. дефолтные политики не стоит изменять, а оставить неизменными 3. создайте свою политику паролей и привяжите ее к OU domain controllers |
|
Последний раз редактировалось Ivan Bardeen, 08-02-2012 в 07:44. Отправлено: 07:34, 08-02-2012 | #6 |
Ветеран Сообщения: 723
|
Профиль | Сайт | Отправить PM | Цитировать Ivan Bardeen, Default Domain Policy действует на всех...
Если она родная Если нет то она действует только на локальные учетные записи, на контроллерах их естественно нет. В 2003-м домене может быть только одна парольная политика т.е. Default Domain Policy, все остальные будут действовать только на локальные учетки. Автор, проверьте родные ли GUID-ы от политик. Если нет то для восстановления изначальных настроек используйте dcgpofix. ЗЫ куда у вас прилинкована Default Domain Policy. Меня смущает что она у вас не действует на контроллеры... Может у вас запрещено наследование или контроллеры перемещены из стандартного OU? |
Отправлено: 07:51, 08-02-2012 | #7 |
Ветеран Сообщения: 1001
|
Профиль | Отправить PM | Цитировать zero55,
Цитата zero55:
Вот здесь, в частности написано http://technet.microsoft.com/en-us/l.../cc875814.aspx "It is a best practice to avoid modifying these built-in GPOs, if you need to apply password policy settings that diverge from the default settings, you should instead create a new GPO and link it to the root container for the domain or to the Domain Controllers OU and assign it a higher priority than the built-in GPO: If two GPOs that have conflicting settings are linked to the same container, the one with higher priority takes precedence." И это работает, о чем я безуспешно пока пытаюсь сообщить автору |
|
Последний раз редактировалось Ivan Bardeen, 08-02-2012 в 08:37. Отправлено: 08:31, 08-02-2012 | #8 |
Ветеран Сообщения: 723
|
Профиль | Сайт | Отправить PM | Цитировать почему бред?
В домене Widnows 2003 может быть только одна парольная политика и желательно (я не говорю что обязательно) ее настроить в Default Domain Policy. Политика может задаваться ТОЛЬКО на уровне домена (В 2008-ом механизм изменен и там может быть множество парольных политик). Ни на уровне сайтов, ни на уровне OU политика паролей применяться не будет, а будет просто игнорироваться (при нескольких политиках rsop будет выдавать предупреждение что политика проигнорирована). http://www.microsoft.com/technet/sec...gch03.mspx#EUE Account policies, which include password policy, account lockout policy, and Kerberos policy security settings, are only relevant in the domain policy for all three environments that are defined in this guide. Возможно неприменение политики из за Multihomed http://support.microsoft.com/kb/830513 Кстати... На контейнере Domain Controllers не установлена галка Block Inheritance? PS оно работает (несколько политик) только в домене на Windows 2008 |
Отправлено: 10:10, 08-02-2012 | #9 |
Ветеран Сообщения: 1001
|
Профиль | Отправить PM | Цитировать zero55,
Бред, потому что - бред. Неважно, как вы видите, что настройки политики паролей, должны быть именно в дефолтной политике - как раз ее и не рекомендуется трогать вообще, а создать свою и привязать ее либо к OU Domain controllers или к корню домена. Поймите наконец - что парольные настройки доменных УЗ должны быть применены к контроллерам домена - это причина, все остальное - это следствия. Про сервера 2008 я вообще не понял зачем вы их сейчас в пример привели? Там поведение абсолютно такое же и по той же причине. Разве что дополнительно парольные политики можно настраивать в объектах PSO. КД вообще могут находиться в любой OU - тогда политика паролей должна быть применена к OU, где располагаются КД : ) |
Отправлено: 10:24, 08-02-2012 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
2008 R2 - [решено] Не работает политика паролей. | goldsmith | Windows Server 2008/2008 R2 | 24 | 05-09-2013 18:03 | |
Репортаж: совершена кража паролей тысяч учетных записей сервиса Windows Live Hotmail | OSZone News | Новости и события Microsoft | 0 | 06-10-2009 14:30 | |
[решено] Политика паролей в AD | MAX85 | Microsoft Windows NT/2000/2003 | 3 | 10-06-2009 20:42 | |
не работает Политика паролей | 1dimas | Microsoft Windows NT/2000/2003 | 14 | 20-04-2009 09:41 | |
Политика паролей в домене. | Joni | Microsoft Windows NT/2000/2003 | 6 | 25-08-2008 17:16 |
|