none
Bug report

Odpovědi

  • No vida, uz se dostavame k jadru pudla (doufam ze vzhledem k tvemu avataru neni toto ponekud politicky nekorektni)

    ad  4. bod (posledni ANO) - predpokladam ze uzivatel ma prava lokalniho administratora(?)

    Pokud ano je zaver takovy: Lokalni administrator muze pres lusrmg.msc nastavit heslo ktere odporuje politice hesel.

    Mam pocit ze toto neni bug ale feature ktera zde byla i v jinych OS nez Win7

    MP
    2. září 2009 10:23
    Moderátor

Všechny reakce

  • Zkus byt konkretnejsi. Nektere chyby Win7 reportuji automaticky (po odsouhlaseni)

    MP
    2. září 2009 7:20
    Moderátor
  • Myslím, že tohle nebude ten případ. Ale když už - mám finální Windows 7 Professional x86 Czech z MVLS, doména AD Windows Serveru 2008, povolen požadavek na složitost hesla, minimální délka 8 znaku (ověřeno pomocí rsop.msc na klientu).

    Vytvořím nového lokálního uživatele Windows 7 a nastavím mu prázdné heslo. Podle nastavení politik by to nemělo být možné (podle očekávání se chovají i Win XP ve stejné doméně), ale Win 7 to umožní.

     

     

    2. září 2009 7:32
  • Ahoj,
    - takzepro kontrolu:  pozadavek na slozitost hesla je vnucen pres computer policy aplikovanou na domenu/OU ve ktere je cilovy pocitac?
    - dale: politika se a) NEAPLIKUJE jen pri zadavani noveho uzivatele resp. pri resetu jeho hesla lokalnim administratorem nebo b) ani tehdy pokud si uzivatel SAM meni heslo (napr. vynucenim zmeny pri prvnim prihlaseni)?

    Dik

    MP
    2. září 2009 8:12
    Moderátor
  • ANO - požadavek je vnucen přes GPO na OU, ve které klient je. Zásada se aplikuje (resp. RSOP.msc na klientu ukazuje nastavení použitá v GPO);
    ANO - to chování se objevuje při resetu hesla uživatele administrátorem;
    ANO - to chování se objevuje při resetu hesla sebou samým pomocí správy počítače;
    NE - při vytváření nového uživatele je vyžadována složitost hesla;
    NE - pokud uživatel musí při dalším přihlášení změnit heslo, je vyžadována složitost hesla;
    NE - pokud uživatel mění heslo přes Ctrl+Alt+Del a Změnit heslo, je vyžadována složitost hesla;

    NE - já dík :)
    • Upravený Kodrla, Zdenek 4. září 2009 6:13 Chybně popsané chování
    2. září 2009 8:32
  • No vida, uz se dostavame k jadru pudla (doufam ze vzhledem k tvemu avataru neni toto ponekud politicky nekorektni)

    ad  4. bod (posledni ANO) - predpokladam ze uzivatel ma prava lokalniho administratora(?)

    Pokud ano je zaver takovy: Lokalni administrator muze pres lusrmg.msc nastavit heslo ktere odporuje politice hesel.

    Mam pocit ze toto neni bug ale feature ktera zde byla i v jinych OS nez Win7

    MP
    2. září 2009 10:23
    Moderátor
  • Mám tu XP se stejným prostředím, ale tam prázdné heslo není možné nastavit. Pokud by to měla být vlastnost, znamenalo by to nezanedbatelné bezpečnostní riziko (člověk počítá s tím, že má všechny účty zabezpečené a ono tomu tak být nemusí).
    Ale podle posledního stavu je to zajímavější: teď nemůžu uživatele s prázdným heslem vytvořit, vyresetovat jej na prázdné stále můžu. Možná se zítra dočkám očekávaného stavu. A RSOP pořád ukazuje, že je složitost a délka hesla vyžadována. Na tom označení Fixta něco bude :-/
    Mně i našemu telátku jsou pudli ukradení, takže v pohodě :)
    2. září 2009 10:58
  • Spis doporucuji zvazit (ne) pouzivani lokalnich uctu jako takovych. Minimalne bych prejmenoval lokalniho Administratora, pripadne zakazal (ale pozor na slozitejsi "opravy" v pripade nedostupne site)

    MP

    2. září 2009 13:49
    Moderátor
  • To je ale na jinou debatu (nehledě na to, že právě lokální Administrátor může být tím účtem s prázdným heslem).
    Dostáváme se do situace, kdy dům má bezpečnostní dveře, dva bezpečnostní zámky, nerozbitná skla, mříže na oknech – a dokořán otevřené zadní dveře.
    Jaké jsou doporučované scénáře, to je jedna věc. Ale tady jde o možnost obejít nastavení Group policy, což je teda IMHO hodně závažný problém. Tím spíš, že se Windows tváří tak, jako že je vše podle očekávání.
    3. září 2009 6:39
  • Group policy muze obejit lokalni administrator. Kdo je lokalnim administratorem se nastavuje pres group policy. Pokud uz je nekdo lokalnim administratorem tak se na GP muze zvysoka vykaslat (coz obcas z donuceni vyuzivam :). Nicmene samozrejme chapu ze vychozi stav by toto byt nemelo dle filozofie windows: Administrator NEMUZE VSE ale I TO CO MA ZAKAZANE SI MUZE POVOLIT PROTOZE JE Administrator.

    Spis bych cekal odezvy kolegu kteri spravuji "namixovane" prostredi jak se chova v tom kterem OS/verzi. NApr ve Win2000 AD s nastavenou politikou hesel ma AFAIR domenovy admin take pravo nastavit uzivateli heslo nekonformni s GP. Ale rikam, pisu z hlavy bez citace zdroju :-P

    MP

    3. září 2009 7:30
    Moderátor
  • Ale vždyť už o pár příspěvků výš jsem uvedl, že tu mám XP se stejným prostředím (stejná doména, stejná OU, účet s právy lokálního administrátora) a tam LOKÁLNÍ ADMINISTRÁTOR NEMŮŽE NASTAVIT PRÁZDNÉ HESLO (když už na sebe křičíme). Je to nesmysl a pokud tohle má být vlastnost, pak je to krok o dvacet let zpět a je to vysloveně hazard s bezpečností.

    3. září 2009 8:38
  • nepisu nic jineho :) MP
    3. září 2009 9:37
    Moderátor
  • A já už mlčím :)
    3. září 2009 9:41
  • :) spis cekam ze se ozve jeste nekdo ze tam a tam se to chova stejne/jinak

    MP

    3. září 2009 9:44
    Moderátor
  • Ještě včera jsem psal do konfery na Pandoře a zatím se taky nikdo neozval, ať tak, nebo tak. Možná je kombinace AD 2008 a Win7 zatím moc nová. Snad se ještě někdo ozve, popř. si to příští týden zkusím ve virtuálu na druhém počítači, jestli to utáhne :)
    A mimochodem - zkusil jsem si nastavit jako výchozí doménu pro přihlášení lokální počítač, ale stejně byla jako výchozí doména Active Directory. Bohužel jsem ten počítač během pár dní přeinstaloval, ale tak se mi zdá, že MS ty politiky trochu odflákl. O víkendu se na to podívám pořádně.

    3. září 2009 12:36
  • jeste namet na pokus:

    pokud komplexnost hesla nastavis pomoci LOKALNICH (gpedit.msc) politik na W7 chovaji se (dovoluji/nedovoluji slaba hesla) stejne?

    MP
    3. září 2009 13:23
    Moderátor
  • Tohle jsem chtěl taky vyzkoušet příští týden. Po víkendu (potřetí) přeinstaluju Windows a vyzkouším to před zapojením do domény.
    A upřesnil bych to, aby to nezapadlo - slabé heslo mi to nedovolí ani teď, povolí buď splňující nároky na složitost, nebo prázdné.
    • Upravený Kodrla, Zdenek 3. září 2009 13:51 Upřesnění chování
    3. září 2009 13:49
  • Zkus to i u pocitace v domene

    MP
    3. září 2009 13:52
    Moderátor
  • Tak to nepůjde, všechny volby jsou zešedlé. Co si matně pamatuju z dob Win 2k, tam opravdu byla dvě nastavení - lokální a doménové (resp. možná platné), ale na XP ani 7 to není (nebo že by to bylo nějakým nastavením v GPO? To si fakt nejsem jistý). Každopádně když už jsme se dali do hledání příčiny, zkusil jsem se zeptat i tady v diskusi Win 7, kde je větší pravděpodobnost, že si to někdo přečte - http://social.technet.microsoft.com/Forums/cs-CZ/windows7cs/thread/ff9de70b-0950-4777-a8da-97ca71c2c963
    4. září 2009 6:19