Remove From My Forums

GPO-Politicas de contraseña afecta a SQL

Pregunta
0

Inicie sesión para votar

Buenas noches.

Hace unas semanas cree una politica de contraseñas que se aplica via GPO, asimismo activo el bloqueo de cuentas frente a intentos fallidos y ahora resulta que esto tambien se ha aplicado a mis servidores SQL ya que cuando mis usuarios fallan con la contraseña se les bloquea su cuenta. SQL Server 2008 tambien trabaja o se integra con la gpo politicas de contraseña??

Otra consulta: cuando se aplica una GPO a nivel de dominio, dicha GPO modifica las directivas locales del equipo (gpedit.msc)??No se supone que las directivas locales son independientes, si bien es cierto que en el orden de aplicacion son las primeras en aplicarse pero al final se aplicaria la GPO de dominio, por ello que no entiendo xq dicha configuracion se ve reflejada en la directiva local.

Saludos.
OrlandoP

viernes, 11 de mayo de 2012 2:46

Responder

|

Citar

Todas las respuestas

0

Inicie sesión para votar

No es que las directivas de cuentas se están aplicando al SQL sino que se están aplicando a las cuentas de usuarios de dominio que se conectan al SQL.
El SQL debe autenticar y autorizar a las cuentas que se conectan

Guillermo Delprato - Buenos Aires, Argentina
Visite Notas Windows Server
MVP - MCT - MCSE - MCSA
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

viernes, 11 de mayo de 2012 11:23

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Gracias por la rpta.

Estoy usando cuentas SQL para autenticar y se bloquea ante intentos fallidos al igual que las cuentas de dominio, por ello mi consulta.

Saludos.
OrlandoP

viernes, 11 de mayo de 2012 12:54

Responder

|

Citar
0

Inicie sesión para votar

Hola OrlandoP:

La respuesta a tu otra consulta es la siguiente:

Una politica la puedes inplementar a nivel de usuario o de equipos.

Una GPO a nivle de usuario afecta las directivas de un Usuario del Dominio no asi las de un usuario local.

Una GPO a nivel de Equipo si te puede bloquear tanto los usuarios de locales como de dominio.

Saludos.

Marcial Espitia - Panamá, Ciudad de Panamá | marciale@hotmail.com | Skype: marcialespitia | Twitter: @marcialespitia

viernes, 11 de mayo de 2012 15:00

Responder

|

Citar
0

Inicie sesión para votar
Si autentificas con logins de SQL ( no autentificacion integrada de Windows) para el SQL.

Es una group policy independiente a la que definas en la GPO a las cuentas del AD

http://msdn.microsoft.com/en-us/library/ms161959.aspx

Moretti Maximiliano MCTS - MCITP MorettiMaxi.com.ar
- Editado Maxi Moretti viernes, 11 de mayo de 2012 15:41
viernes, 11 de mayo de 2012 15:40

Responder

|

Citar
0

Inicie sesión para votar

Tratándose de cuentas del SQL creo que que te conviene preguntar en el foro del mismo en
http://social.technet.microsoft.com/Forums/es-es/sqlserveres/threads

Guillermo Delprato - Buenos Aires, Argentina
Visite Notas Windows Server
MVP - MCT - MCSE - MCSA
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

viernes, 11 de mayo de 2012 15:41

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Los usuarios de SQL coinciden con nombres de usuario de AD ? Creo que deberias verificar si tu caso coincide con alguno de los casos descriptos aqui
http://support.microsoft.com/kb/103390 que describen como funciona el network logon. Lo que si deberias consultar con los chicos de SQL seria de si por alguna razon tienes tambien configurado Windows Authentication ?

Duplicar usuarios nunca es una buena idea, si no vas a utilizar usuarios de AD, seria mejor que los nombres no sean iguales, realmente no conozco de SQL aunque segun el grafico descripto aqui http://kbase.gfi.com/showarticle.asp?id=KBID002804 la autenticacion parece ser Mixed... (Consulta esto con algun especialista en SQL por las dudas :) ) si ese es el caso, te recomendaria no duplicar cuentas o bien utilizar autenticacion integrada si quieres mantener Single Sign On.

Para entender el comportamiento, si las cuentas se estan bloqueando deberiamos ver que es lo que esta recibiendo el domain controller. Te aconsejo que hagas lo siguiente para investigar el problema.

1 . En el domain controller con el rol de PDC, activa el logging de netlogon utilizando el siguiente comando "nltest /dbflag:0x2080ffff" una vez actives el mismo generara un log llamado netlogon.log en la carpeta c:\Windows\debug.

2 . Una vez que el usuario se bloquee deberias examinar el log, si quieres puedes subir el log a alguna ubicacion y indicar cual es el usuario que se bloqueo.

Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos

martes, 15 de mayo de 2012 11:44

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Segun pude consultar con un administrador de SQL, me confirmo que la autenticacion de SQL en realidad ex MIXTA, por lo cual acepta autenticacion integrada como asi tambien usuarios de SQL. En este caso si vas a utilizar usuarios locales procura no utilizar en SQL los mismos nombres de usuario de usuarios existentes en SQL.
Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos

miércoles, 16 de mayo de 2012 18:49

Responder

|

Citar

Moderador