none
Cambio Password con GPO RRS feed

  • Domanda

  • Buon giorno, vi scrivo perchè non riesco a capire come risolvere questo problema banale. Ho un dominio con Windows Server 2008 R2. Sto cercando di configurare una GPO che mi permetta di far cambiare password ogni 3 mesi.

    Ho creato un'unita organizativa che al suo interno c'è un utente e un computer. Ho creato una GPO di nome "password". Sono andato su: Configurazione computer --> Impostazioni di Windows --> impostazione di protezione --> Criteri di passowrd.

    Ho inserito banalmente:

    Lunghezza minima password: 8 caratteri

    Validità massima password: 60gg (per test ho inserito 1gg)

    Validità minima password: 0 gg

    Poi sono andat su CMD e ho digitato GPUUPDATE /FORCE. Ho aspettato un giorno e la regola non mi ha richiesto di cambiare la password.

    Ho fatto un altro tentativo. Sono andato su "Default Domanin Policy" ho fatto la stessa configurazione e magicamente funziona tutto. come mai?


    domenica 7 aprile 2013 09:09

Risposte

  • E' normale che funzioni solo l'impostazione tramite la Default Domain Policy, per impostazione predefinita puoi impostare una sola password policy alla volta per dominio tramite oggetti GPO. Per applicare una password policy differente ad un determinato gruppo devi configurare la fine grained password policy tramite ADSI Edit.

    http://technet.microsoft.com/it-it/library/cc770394(v=ws.10).aspx

    Guida dettagliata:

    http://technet.microsoft.com/it-it/library/cc770842(v=ws.10).aspx


    domenica 7 aprile 2013 09:54
    Moderatore
  • Se la GPO Password contiene solo le impostazioni dei criteri password non viene applicata perché viene eseguito l'override dalla default domain policy.

    Come dicevo se il tuo scopo è creare una password policy per utenti, gruppi, ecc... devi utilizzare le fine grained password policy, altrimenti devi utilizzare la Default Domain Policy per specificare una password policy a livello di dominio unica per tutti (come si faceva nei sistemi operativi precedenti). Puoi anche combinare la default domain policy e le fine grained password policy.

    Leggi anche qui: http://akrameleyan.wordpress.com/2013/01/06/why-and-how-to-use-fine-grained-password-policies/

    Practically, you cannot assign multiple password policies on different OU within a domain/forest, and still you cannot, the default password policy will always override any other password policy you may try to create in different GPO and different level of linking, no matter what you do, force the policy, block inheritance, even remove the password configuration in the default domain policy or set it to “not configured”, you just cannot.
    domenica 7 aprile 2013 10:18
    Moderatore

Tutte le risposte