none
Scadenza Password RRS feed

  • Discussione generale

  • Ho un problema con le policy di un DC 2003.

    Se faccio il seguente percorso:

    UTENTI E COMPUTER di ACTIVE DIRECOTRY

    Tasto dx su dominio

    Dafault Domain Policy - modifica

    Configurazione computer

    Impostazioni di windows

    Impostazioni protezione

    criteri account

    criterio password

    validità massima password è definita in 90 giorni ( ed è quello che vorrei)

    Inceve il sistema considera soli 42 giorni di validità. Ovvero, se non sbaglio, prende come criterio valido quello del computer locale.

    Come posso risolvere il problema?

    • Tipo modificato Anca Popa martedì 16 agosto 2011 08:03 in attesa di ulteriori feedback
    martedì 9 agosto 2011 08:11

Tutte le risposte

  • non è che ti stai semplicemente riferendo alla durata minima di validità della password e non a quella massima ?

    le local policies vengono sempre sovrascritte dalle domain policies e per le password policies valgono solo quelle di dominio (in win2k3).


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 9 agosto 2011 08:26
    Moderatore
  • E siccome nelle policy di dominio ho impostato a 90 giorni la validità della password, xche non funziona?

    Mentre tutti gli altri criteri, dalla complessità, alla lunghezza ecc.., sono rispettati?

    Inoltre ho notato che nella policy di default del controller di dominio (differentemente dal dominio) invece non c'è alcuna specifica in merito alle password. Può essere questa la causa?

    In tal caso come mai le altre specifiche funzionano?

    martedì 9 agosto 2011 09:04
  • E siccome nelle policy di dominio ho impostato a 90 giorni la validità della password, xche non funziona?

     


    leggi bene: hai impostato la validità massima della password a 90 giorni ma quanto è quella minima ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 9 agosto 2011 09:11
    Moderatore
  • un giorno
    martedì 9 agosto 2011 09:21
  • ok, allora nelle domain policies, password policies tu hai durata minima 1 giorno e durata massima 90 giorni mentre nella local policy hai come durata minima della password 42 giorni.

    come fai a dire che vale quest'ultima durata ? la macchina di cui parli è joinata al dominio e vengono applicate le domain policies senza errori ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 9 agosto 2011 10:10
    Moderatore
  • nella local policy la durata massima della password è 42 giorni.

    Ogni volta che un utente rinnova la sua password, anzichè 90 giorni gli dura al max un mese e mezzo.

    martedì 9 agosto 2011 11:02
  • non hai risposto a tutte le domande.

    la macchina di cui parli è joinata al dominio e vengono applicate le domain policies senza errori ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 9 agosto 2011 11:15
    Moderatore
  • Il problema della scadenza "anticipata" della password si verifica su tutti client della mia rete lan e vale per tutti gli utenti della lan.

    Se le domain policies vangano applicati senza errori non saprei dirlo visto che anche per altri thread (vedasi logon locale sul DC da parte degli utenti) sto avendo dei problemi.


    martedì 9 agosto 2011 11:24
  • Se le domain policies vangano applicati senza errori non saprei dirlo visto che anche per altri thread (vedasi logon locale sul DC da parte degli utenti) sto avendo dei problemi.



    posta gli errori che trovi nel registro eventi del dc nelle sezioni system e application indicando event id e source dell'errore.

    già che ci sei posta anche un ipconfig /all del domain controller e di uno dei clients.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 9 agosto 2011 11:40
    Moderatore
  • Nel registro eventi non ci sono errori inerenti i criteri di gruppo o cmq errori che possono riconbdursi alla problematica in questione.

    Npon posso postare ipconfig del DC. ma l'ho controllato e le informazioni che dà sono quelle che mi aspettavo: sembra tutto in ordine.

    Scusa ma può dipendere dal fatto che i cirteri di impostazioni sulle pasword sono definite solo nelle policies del dominio e non nelle policies del domain controller?

     


    martedì 9 agosto 2011 15:34
  • Nel registro eventi non ci sono errori inerenti i criteri di gruppo o cmq errori che possono riconbdursi alla problematica in questione.

    sicuro ?

    Npon posso postare ipconfig del DC. ma l'ho controllato e le informazioni che dà sono quelle che mi aspettavo: sembra tutto in ordine.

    perchè non puoi postare l'ipconfig /all del DC ?

    Scusa ma può dipendere dal fatto che i cirteri di impostazioni sulle pasword sono definite solo nelle policies del dominio e non nelle policies del domain controller?

    mi pare che tu non abbia le idee molto chiare su dove debbano essere definite le password policies...


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 10 agosto 2011 08:47
    Moderatore
  • Non posso postare l'ipconfig/all del DC xhce uso questo forum su una macchian diversa dal DC (che è a fianco).

    Se mi dici cosa vorresti vedere dell'ipconfig te lo trascrivo manualmente.

    Può darsi pure che nn abbia le idee molto chiare su dove vanno definite le password policies; di certo non vengono applicate quelle del dominio (dove la scadenza è di 90 giorni), ma viene utilizzato il valore di default (42 giorni).

     

    mercoledì 10 agosto 2011 09:26
  • ipconfig /all>c:\server.txt
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 10 agosto 2011 09:36
    Moderatore
  • Lo stavo giustappunto facendo. :-)

     

       Nome host . . . . . . . . . . . . . . : server-utenti

       Suffisso DNS primario . . . . . . . . : municipioapricena.it

       Tipo nodo . . . . . . . . . . . . . . : Sconosciuto

       Routing IP abilitato . . . . . . . .  : Sì

       Proxy WINS abilitato . . . . . . . .  : Sì

       Elenco di ricerca suffissi DNS. . . . : municipioapricena.it

     

    Scheda PPP Interfaccia server RAS (In ingresso):

     

       Suffisso DNS specifico per connessione:

       Descrizione . . . . . . . . . . . . . : WAN (PPP/SLIP) Interface

       Indirizzo fisico. . . . . . . . . . . : 00-53-45-00-00-00

       DHCP abilitato. . . . . . . . . . . . : No

       Indirizzo IP. . . . . . . . . . . . . : 192.168.1.100

       Subnet mask . . . . . . . . . . . . . : 255.255.255.255

       Gateway predefinito . . . . . . . . . :

     

    Scheda Ethernet Connessione alla rete locale (LAN):

     

       Suffisso DNS specifico per connessione:

       Descrizione . . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2

       Indirizzo fisico. . . . . . . . . . . : 00-1A-64-49-1A-31

       DHCP abilitato. . . . . . . . . . . . : No

       Indirizzo IP. . . . . . . . . . . . . : 192.168.1.2

       Subnet mask . . . . . . . . . . . . . : 255.255.255.0

       Gateway predefinito . . . . . . . . . : 192.168.1.1

       Server DNS . . . . . . . . . . . . .  : 192.168.1.2

     

    Scheda Ethernet Connessione alla rete locale (LAN) 2:

     

       Suffisso DNS specifico per connessione:

       Descrizione . . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet

       Indirizzo fisico. . . . . . . . . . . : 00-1A-64-49-1A-30

       DHCP abilitato. . . . . . . . . . . . : No

       Indirizzo IP. . . . . . . . . . . . . : 192.168.1.6

       Subnet mask . . . . . . . . . . . . . : 255.255.255.0

       Gateway predefinito . . . . . . . . . : 192.168.1.1

       Server DNS . . . . . . . . . . . . .  : 192.168.1.2

    mercoledì 10 agosto 2011 09:45
  • Scusami se insisto.

    Facendo una GPR, all'interno di GPMC, specificando un pc client della rete e un untente del dominio, emerge che la Default Domain Policy viene applicata per la CONFIGURAZIONE UTENTE e non per la CONFIGURAZIONE COMPUTER.

    Mi dice che la Default Domain Policy, a livello di computer (non di utente) ha accesso DENIED a causa della Security filtering 

     


    mercoledì 10 agosto 2011 10:33
  • ti ho già scritto che per default gli authenticated users devono avere diritto di lettura sia sulla Default Domain Policy sia sulla Default Domain Controller Policy.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 10 agosto 2011 11:49
    Moderatore
  • ho messo authenticated user in lettura sia nella policy del dominio che del controller. Lo stesso ho fatto per domain users.

    Ma continua a non applicare la regola per le macchine del dominio, mentre per gli utenti la applica.

    Perchè una GPO viene intercettata nella configurazionew USer e viene respinta nella configurazione computer?


    Inoltre sempre osservando meglio nella GPMC vedo che questi maledetti due gruppi hanno l'autorizzazione READ ma a fianco hanno l'indicazione (from Security Filtering).

    Mentre altri gruppi hanno la voce Read ma senza quella specifica.

    Ti dice qualcosa?

    mercoledì 10 agosto 2011 13:32
  • dopo aver modificato le acl come indicato hai riavviato il domain controller in modo che le policies si riapplichino ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    giovedì 11 agosto 2011 09:14
    Moderatore
  • Ciao Yoghi,

    puoi provare a fare questa cosa sul client.

    esegui ... cmd ... gpupdate /force

    successivamente scrivi sempre nel prompt .. gpresult /r

    e postaci i risultati del gpresult.

    credo che ad Edoardo possa essere utile anche questo.

    Silvano

    venerdì 7 ottobre 2011 23:40