Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Политики учетных записей-политика паролей

Ответить
Настройки темы
[решено] Политики учетных записей-политика паролей

Пользователь


Сообщения: 55
Благодарности: 2

Профиль | Отправить PM | Цитировать


Win2003+Win7

не работает политика учетных записей.

Все настроено по фен-шую, политика Default Domain Policy висит на домене,
Срок действия - 3 дня
Минимальный срок действия - 1 день

На пк политика применяется что можно наблюдать в RSOP и политика работает на локальных учетных записях. На доменные же учетные записи никаких принудительных запросов о смене пароля пользователи не получают.

Замечена странность - по истечении срока пароля пароли начинают приниматься не с первого раза при логине или разблокировке. Но никакого отваливания ресурсов не наблюдается.
Так же еще замечено при ручной смене пароля пользователем бывает возникает ошибка "неверное имя пользователя".


Пробовал подменять политики на Sysvol взяв с дефолтного сервера что не дало никакого результата.

Может кто сталкивался...

Отправлено: 09:44, 06-02-2012

 

Аватара для zero55

Ветеран


Сообщения: 723
Благодарности: 127

Профиль | Сайт | Отправить PM | Цитировать


Вы уверены что у вас родная политика Default Domain Policy?

Ваша ситуация типична когда политика пересоздана, вернее родная удалена а создана одноименная политика.
Поэтому действие и распространяется только на локальные учетные записи.

Если факт замены политики был то придется делать бэкап а потом восстанавливать дефолтовые политики с помощью утилиты dcgpofix
http://technet.microsoft.com/ru-ru/query/cc772811
Это сообщение посчитали полезным следующие участники:

Отправлено: 15:07, 06-02-2012 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Сообщения: 1001
Благодарности: 226

Профиль | Отправить PM | Цитировать


DOCznet,
Действие политики распространяется на КД?
Это сообщение посчитали полезным следующие участники:

Отправлено: 15:17, 06-02-2012 | #3


Пользователь


Сообщения: 55
Благодарности: 2

Профиль | Отправить PM | Цитировать


Default Domain Policy не распространяется и не должна распространяться на КД


Цитата zero55:
Цитировать »
Предположение с удалением политики вероятно. Неделей ранее решил заглянуть в INI файл политики на Sysvol'e и обнаружил что что бы я не менял через оснастку gpmc.msc d INI файле изменений не происходит, хотя изменения политики принимались доменными ПК корректно. После чего я зашел по дефолтному ярлыку в администрировании "Политика безопасности домена", так же увидел что все атрибуты по нулям. Выставил желаемые значения, после чего политика отсинхронилась везде. Но результата это так же не дало.


Попробовал последовать вашему совету - команда отработала успешно, но не сработало...


Есть еще варианты?

Отправлено: 18:38, 07-02-2012 | #4


Аватара для zero55

Ветеран


Сообщения: 723
Благодарности: 127

Профиль | Сайт | Отправить PM | Цитировать


Заглянули в файл как? и что там? там максимум что может меняться это номер версии.

Имеется ввиду gpi.ini?

Какие атрибуты по нулям?
Какие значения выставили и где?

Отсинхронизировалась где? Сколько у вас контроллеров?

PS У меня подозрения что вам стоит проверить GUID-ы политик
Default Domain Policy
{31B2F340-016D-11D2-945F-00C04FB984F9}

Default Domain Controllers Policy
{6AC1786C-016F-11D2-945F-00C04fB984F9}
Это сообщение посчитали полезным следующие участники:

Отправлено: 22:50, 07-02-2012 | #5


Ветеран


Сообщения: 1001
Благодарности: 226

Профиль | Отправить PM | Цитировать


Цитата DOCznet:
Default Domain Policy не распространяется и не должна распространяться на КД »
Именно поэтому у вас политика паролей и не работает.
1. Политика паролей должна действовать на контроллеры домена, где учетные записи и хранятся
2. дефолтные политики не стоит изменять, а оставить неизменными
3. создайте свою политику паролей и привяжите ее к OU domain controllers

Последний раз редактировалось Ivan Bardeen, 08-02-2012 в 07:44.

Это сообщение посчитали полезным следующие участники:

Отправлено: 07:34, 08-02-2012 | #6


Аватара для zero55

Ветеран


Сообщения: 723
Благодарности: 127

Профиль | Сайт | Отправить PM | Цитировать


Ivan Bardeen, Default Domain Policy действует на всех...
Если она родная
Если нет то она действует только на локальные учетные записи, на контроллерах их естественно нет.

В 2003-м домене может быть только одна парольная политика т.е. Default Domain Policy, все остальные будут действовать только на локальные учетки.

Автор, проверьте родные ли GUID-ы от политик. Если нет то для восстановления изначальных настроек используйте dcgpofix.

ЗЫ куда у вас прилинкована Default Domain Policy. Меня смущает что она у вас не действует на контроллеры...
Может у вас запрещено наследование или контроллеры перемещены из стандартного OU?
Это сообщение посчитали полезным следующие участники:

Отправлено: 07:51, 08-02-2012 | #7


Ветеран


Сообщения: 1001
Благодарности: 226

Профиль | Отправить PM | Цитировать


zero55,
Цитата zero55:
Default Domain Policy действует на всех...
Если она родная. Если нет то она действует только на локальные учетные записи, на контроллерах их естественно нет »
Откуда этот бред, простите?

Вот здесь, в частности написано http://technet.microsoft.com/en-us/l.../cc875814.aspx
"It is a best practice to avoid modifying these built-in GPOs, if you need to apply password policy settings that diverge from the default settings, you should instead create a new GPO and link it to the root container for the domain or to the Domain Controllers OU and assign it a higher priority than the built-in GPO: If two GPOs that have conflicting settings are linked to the same container, the one with higher priority takes precedence."

И это работает, о чем я безуспешно пока пытаюсь сообщить автору

Последний раз редактировалось Ivan Bardeen, 08-02-2012 в 08:37.

Это сообщение посчитали полезным следующие участники:

Отправлено: 08:31, 08-02-2012 | #8


Аватара для zero55

Ветеран


Сообщения: 723
Благодарности: 127

Профиль | Сайт | Отправить PM | Цитировать


почему бред?
В домене Widnows 2003 может быть только одна парольная политика и желательно (я не говорю что обязательно) ее настроить в Default Domain Policy. Политика может задаваться ТОЛЬКО на уровне домена (В 2008-ом механизм изменен и там может быть множество парольных политик). Ни на уровне сайтов, ни на уровне OU политика паролей применяться не будет, а будет просто игнорироваться (при нескольких политиках rsop будет выдавать предупреждение что политика проигнорирована).

http://www.microsoft.com/technet/sec...gch03.mspx#EUE

Account policies, which include password policy, account lockout policy, and Kerberos policy security settings, are only relevant in the domain policy for all three environments that are defined in this guide.

Возможно неприменение политики из за Multihomed http://support.microsoft.com/kb/830513

Кстати... На контейнере Domain Controllers не установлена галка Block Inheritance?

PS оно работает (несколько политик) только в домене на Windows 2008
Это сообщение посчитали полезным следующие участники:

Отправлено: 10:10, 08-02-2012 | #9


Ветеран


Сообщения: 1001
Благодарности: 226

Профиль | Отправить PM | Цитировать


zero55,
Бред, потому что - бред. Неважно, как вы видите, что настройки политики паролей, должны быть именно в дефолтной политике - как раз ее и не рекомендуется трогать вообще, а создать свою и привязать ее либо к OU Domain controllers или к корню домена. Поймите наконец - что парольные настройки доменных УЗ должны быть применены к контроллерам домена - это причина, все остальное - это следствия.
Про сервера 2008 я вообще не понял зачем вы их сейчас в пример привели? Там поведение абсолютно такое же и по той же причине. Разве что дополнительно парольные политики можно настраивать в объектах PSO.
КД вообще могут находиться в любой OU - тогда политика паролей должна быть применена к OU, где располагаются КД : )
Это сообщение посчитали полезным следующие участники:

Отправлено: 10:24, 08-02-2012 | #10



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Политики учетных записей-политика паролей

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2008 R2 - [решено] Не работает политика паролей. goldsmith Windows Server 2008/2008 R2 24 05-09-2013 18:03
Репортаж: совершена кража паролей тысяч учетных записей сервиса Windows Live Hotmail OSZone News Новости и события Microsoft 0 06-10-2009 14:30
[решено] Политика паролей в AD MAX85 Microsoft Windows NT/2000/2003 3 10-06-2009 20:42
не работает Политика паролей 1dimas Microsoft Windows NT/2000/2003 14 20-04-2009 09:41
Политика паролей в домене. Joni Microsoft Windows NT/2000/2003 6 25-08-2008 17:16




 
Переход