none
Změny v Active Directory

    Dotaz

  • Ahoj. Nestalo se Vám někdy, že změníte v Active Directory položku v mém případě "uživatel nemůže měnit heslo" a druhý den je opět kouknu do Active Directory a položka je opět změněna na default "uživatel nemůže měnit heslo" .

    Kde by mohl být problém ? Nesetkali jste se někdo s tím?

    Děkuji David

    7. ledna 2012 19:51

Odpovědi

  • Tak jsme napsal script co se spustí a vždy to změní na hodnoty co potřebuji POWERSHELL v.2.0

    $name

    = "zde napiš číslo uživatele"

    Set-QADUser - Identity $name | Add-QADPermission -Account SELF,Everyone -ExtendedRight "User-Change-Password" -Deny -ApplyTo ThisObjectOnly

     

    Set-QADUser -Identity $name -PasswordNeverExpires $true

    uživateli podle osobního čísla pak v AD změní nabídky "Uživatel nemůže měnit heslo" a "Heslo je stále platné"

     

     



    2. února 2012 11:58

Všechny reakce

  • Ahoj,

    tak zrovna tohle se mi v životě nestalo. Není aplikovaný nějaká Custom policy na hesla (Fine Grained Password Policy)? Jaká je úroveň funkčnosti domény? Jaká je verze serveru?


    This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional | Connected Home Integrator | Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Technology Specialist:
    Windows 7, Configuration | Microsoft Windows Vista, Configuration
    Pre-Installing Windows 7 for OEMs | Windows 7 and Office 2010, Deployment | Windows Vista® and Server Operating Systems, Preinstallation
    Windows Server 2008 Active Directory, Conf | Windows Server 2008 Network Infrastructure, Conf | Windows Server 2008 Applications Infrastructure, Conf
    Windows Server 2008 R2, Servaer Virtualization | Windows Server Virtualization, Configuration | Microsoft Lync Server 2010, Configuring
    Windows SBS 2011, Configuring | Windows® EBS 2008, Configuration | Windows® SBS 2008, Configuration
    Windows HPC Server 2008, Development | Windows Internals | MDOP, Configuration | SharePoint® 2010, Configuration
    Microsoft SCOM, Configuration | Microsoft SCDPM 2007, Configuration | Microsoft SCVMM 2008, Configuration

    7. ledna 2012 19:54
  • Omlouvám se

    jedná se o Server 2003 SP 2

    - No zásady hesel nastaveno jsou, ale to se mi děje jenom u některých uživatelů v různých Organizačních jednotkách.

    XX uživatel je v OU např. 100 zde nastavím "uživatel nemůže měnit heslo" a druhý den uživateli zůstane vše nastaveno což je OK.

    YY uživatel je v OU např. 100 zde nastavím "uživatel nemůže měnit heslo" a druhý den uživatel nemá nastaveno.

    Uživatele jsou ve stejnách bezpečnostních skupinách a distribučních skupinách.

    7. ledna 2012 20:31
  • Vzdy jsi pripojen ke stejnemu radici domeny? Tzn. nemohlo se ti stat ze mas problemy s replikaci - nastavil jsi na radici A, pak ses dival na radic B kam zmena nedoputovala?

     

    MP

    8. ledna 2012 14:41
    Moderátor
  • Ano pokažde stejny řadič domény, ale pro jistotu ještě zítra omrknu....
    Dnes 9.1.2012

    Přihlášen jsme jak na DC1 tak na DC2 xxx uživatel nemá zaškrtnuto  "uživatel nemůže měnit heslo" tak provedu následující:

    Přihlášen na DC1 zaškrtnu  "uživatel nemůže měnit heslo" potrvrím tlačítkem OK.

    Během pár vteřin:

    Přihlášen na DC2 mrknu na xxx uživatele a již má také zaškrtnuto  "uživatel nemůže měnit heslo" OK

     

    8. ledna 2012 19:02
  • Ale po nějaké době uživateli  "uživatel nemůže měnit heslo" zmizí zatržítko. U jiných uživatelů toto zatržítko zůstane.
    9. ledna 2012 5:48
  • Jedna sa o rovnakych uzivalov alebo vzdy su to ini nahodni?

    V tvojom pripade by som si zapol auditovanie nad AD a pozrel co to meni. Urcite to nieco bude menit.

     


    ---------- Ondrej Zilinec - Cievo ----------
    13. ledna 2012 8:50
  • Ahoj jedná se o stejné uživatele. Podrobně by šlo napsat jak zapnout auditivání a kde to pak sledovat? Zda je to podobné jako u složek?


    Děkuji

    14. ledna 2012 11:49
  • Prepac, ze az tak neskoro, ale mal som troska prace.

    Takze ja vacsinou nastavim Default Domain Controllers Policy nasledovne:

     

     

    A ked zmenim parameter, napriklad "User cannot change password", tak dostanem do Eventlogu na danom domenovom radici event:

     

     

    Takze v danom Evente vidno, ze uzivatel "cievo" zmenil ucet "ext". Samozrejme, je mozne zapnut auditovanie cez samotne nastavenie daneho objektu, cez zalozku Security a je tam veeeeeela moznosti z ktorych si mozes vybrat. Potom vidis presne, ktore veci sa nad danym uctom zmenili, ale ty chces vediet len kto a kedy zmenil dany ucet.

     


    ---------- Ondrej Zilinec - Cievo ----------

    18. ledna 2012 13:41
  • Ahoj, tak změny co provedu jsou v EventLogu security vidět, ale bohužel už jsem nedohledal když se to změní automaticky..

    Server 2003. Ještě jak jsme měl seřazeno podle času od nejnovějšího po nejstarčí jsem nalezl jednu nesrovnalost v čase. na DC jsou časy v pořádku přitom, služba w32tm probíhá v pořádku.

    Jak je vidět na obrázku nechápu kde se tam ten čas o 21minut mohl posunout najednou? Nevím zda to nemá souvislost.

    Děkuji

    20. ledna 2012 21:42
  • No...podla mna domenove radice loguju zmeny aj manualne aj automaticke. Pozeral si logy na vsetkych domenovych kontroleroch?

    K tomu casu...netusim :-)

     


    ---------- Ondrej Zilinec - Cievo ----------
    23. ledna 2012 8:13
  • Ahoj. Sledoval jsem log jenom u nás na DC1 a na DC2 ne, ale dneska už ano a už vím i kdy se to stalo mám rozmezí 8minut.

    Eventlogu sleduji "Security - Adresářové služby" - tak snad tam něco uvidím, protože mně to docela znepokojuje :)

     

    23. ledna 2012 17:07
  • Tak tohle se mi zobrazilo. Jinak jsme na DC1 a DC2 neviděl a nenašel.....

    http://support.microsoft.com/kb/836419/cs

    - může to měnit účet?

    23. ledna 2012 18:02
  • Daj vediet ci si nieco nasiel :)

     


    ---------- Ondrej Zilinec - Cievo ----------
    23. ledna 2012 20:14
  • Ahoj,

    je možné, že je to prostě nějaká chyba, která se stala při budování sítě...

    Asi bych to vyřešil tak, že bych si napsal skript, který by kontroloval nastavení u těch problémových uživatelů a v případě potřeby by to automaticky měnil.


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional | Connected Home Integrator | Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Technology Specialist:
    Windows 7, Configuration | Microsoft Windows Vista, Configuration
    Pre-Installing Windows 7 for OEMs | Windows 7 and Office 2010, Deployment | Windows Vista and Server Operating Systems, Preinstallation
    Windows Server 2008 Active Directory, Conf | Windows Server 2008 Network Infrastructure, Conf | Windows Server 2008 Applications Infrastructure, Conf
    Windows Server 2008 R2, Server Virtualization | Windows Server Virtualization, Configuration | Microsoft Lync Server 2010, Configuring
    Windows SBS 2011, Configuring | Windows EBS 2008, Configuration | Windows SBS 2008, Configuration
    Windows HPC Server 2008, Development | Windows Internals | MDOP, Configuration | SharePoint 2010, Configuration
    Microsoft SCOM, Configuration | Microsoft SCDPM 2007, Configuration | Microsoft SCVMM 2008, Configuration

    25. ledna 2012 19:04
  • Ahoj ano je to možné že je chyba já jsem to zdědil...A script bys naspsal jak nebo v čem děkuji...
    27. ledna 2012 21:25
  • Ja osobne vo VBSku.

     


    ---------- Ondrej Zilinec - Cievo ----------
    29. ledna 2012 11:42
  • Můžeš ukázat? Já bych to asi napsal osobně v powershell, že by se co 5 min pustil *.ps1 spustil a změnil na "uživatel nemůže měnit heslo"
    29. ledna 2012 19:15
  • Tak jsme napsal script co se spustí a vždy to změní na hodnoty co potřebuji POWERSHELL v.2.0

    $name

    = "zde napiš číslo uživatele"

    Set-QADUser - Identity $name | Add-QADPermission -Account SELF,Everyone -ExtendedRight "User-Change-Password" -Deny -ApplyTo ThisObjectOnly

     

    Set-QADUser -Identity $name -PasswordNeverExpires $true

    uživateli podle osobního čísla pak v AD změní nabídky "Uživatel nemůže měnit heslo" a "Heslo je stále platné"

     

     



    2. února 2012 11:58
  • Aj tak je to podla mna zle, ze nevies povod zmeny a riesenie skriptom je len docasne, kym neprides na "chybu". Ci?

     


    ---------- Ondrej Zilinec - Cievo ----------
    2. února 2012 12:04
  • Hledal jsme a zatím nic musel jsem to vyřešit zatím takto....
    2. února 2012 12:05