none
Политики паролей в домене 2008R2 RRS feed

  • Вопрос

  • Добрый день,

    Домен 2008R2 ,  в дефолтной политике выставлены политики паролей (минимум 6 символов и т.д.), эта политика применяется к всему домену и всем пользователям.

    Есть задача для "узкого круга" пользователей (50 чел) применить более жесткую политику паролей (минимум 10 символов и т.д.).

    Логично что сделал отдельный контейнер , добавил туда пользователей, сделал новую политику применил к этому контейнеру но не работает(

    Есть идеи? Дето читал раньше что домен 2008R2 , не поддерживает разделения политик паролей что якобы чтобы заработало нужно апдейтится до 2012 уровня.

Ответы

Все ответы

  • Нет, PSO можно с 2008-го применять, даже не R2.
    http://technet.microsoft.com/ru-ru/library/cc770842(v=ws.10).aspx
    Отвечающий
  • политика паролей может быть одна, потому что настрйоки определяются в компьютерной части политики, а не пользовательской, поэтому ей все равно в какие контейнеры вы пользователей поместите - действует она на контроллеры домена.

    для разделения политики паролей с win2008 есть PSO http://technet.microsoft.com/en-us/library/cc770842(v=ws.10).aspx

    Модератор
  • Спасибо теперь все понятно.

    Еще один вопрос , от куда сейчас (по дефолту) берется политика паролей?

    Дело в том что у меня  в домене дефолтная политика что была создана при создании домена существует но никуда не применяется, она просто себе лежит в  сторонке так сказать. Вместо нее создана новая политика которая применяется на весь домен, где все настройки продублированы.

    Могу ли я сейчас удалить дефолтную политику если она не используется? Или все таки используется? Как проверить от куда щас берется политика паролей?

  • Дефолтная- используется. И соответстенно, можете не проверять- используется.

    Ваша- нет. Удаляйте Вашу. PSO и ввели для того, чтобы не городить отдельный домен, т.к. отдельные политики ранее можно было вязать только к домену.

    Отвечающий
  • Что будет  если я  ее удалю ? дефолтную?

    И как она используется  если при проверке Result Policy , я  нигде не вижу чтобы она применялась. Где  можно посмотреть вся связи дефолтной политике к домену?


    • Изменено offskid 22 мая 2013 г. 14:25
  • Default Domain Policy  не применяется?
    Отвечающий
  • Default Domain Policy  не применяется?

    Да не применяется, я  ее переименовал года 4 назад  и никуда не применяю , она просто лежит.

    Вместо нее на весь домен применяется другая  политика , которую я сделал отдельно . Это нормально вообще? И от куда берется политика паролей ?  Настройки для паролей одинаковы на обеих политиках.

    Вот дефолтная политика которая не применяется никуда:
    Вот дефолтная  политика которая не применяется никуда.

    Вот политика которая создана вручную и применяется на весь домен.

    Вот политика которая  в роли дейолтной  что создана мною и применяется на весб домен.

    В обеех политиках приписаны правила паролей и как понять которая из них применяется на домен ?

    • Изменено offskid 23 мая 2013 г. 7:03
  • посмотрите результирующую на контроллерах. скорее всего та которая сейчас прилинкована к домену.
    Модератор
  • Если Вы отвязали DDP и "никуда ее не применяете", то команда gpresult /r должна выдать что-то вроде

            Примененные объекты групповой политики
      ---------------------------------------

    Копия моей крутой Default Domain Policy

      Следующие политики GPO не были приняты, поскольку они отфильтрованы
      --------------------------------------------------------------------
          Default Domain Policy
              Фильтрация:  Отключено (GPO) 

    ИЛИ Фильтрация:  Не применяется (пусто)

    Соответственно ,применяться будет ваша кастомная (но только одна на домен).

    Почитайте гайд по работе с PSO, продумайте структуру паролей для групп пользователей, которых Вы хотите защитить.

    Отвечающий
  • gpresult /r  на клиентской машине показывает что применяется только моя  политика , дефолтная  вообще нигде не фигурирует.
    gpresult /r  на контролере показивает что применяется моя  политика и дефолтная для ДК.
    • Изменено offskid 23 мая 2013 г. 8:16
  • ну все верно, раз дефолтную отвязали.

    Модератор
  • Да по всей  видимости да, но  может она  все таки как то привязана к домену ?  думаю чтобы после удаления ее ничего не поломалось.
  • я бы не стал удалять, общая практика рекомендует оставлять и не трогать дефолтную, а свои параметры отличные от дефолтных настраивать в отдлельно политике.

    Модератор
  • Да понимаю но вынудило меня создать новую и отвязать старую недостача настроек  в  дефолтной  после обновления с 2003 до 2008 домена.

    • Предложено в качестве ответа Медет 10 сентября 2013 г. 12:19
    • Отменено предложение в качестве ответа Медет 10 сентября 2013 г. 12:19
  • Здравствуйте.

    Как можно в АД для одного пользователя сделать легкий пароль?
    Вроде было в свойствах пользователя атрибут добавлялся и менялось значени.

    не применяя политику.в данной окошко. http://social.technet.microsoft.com/Forums/getfile/33020

    Можете помочь. Все никак не могу вспомнить. Буду очень признателен.

    10 сентября 2013 г. 12:20
  • Можем. Создайте новую тему, чтобы в эту не ходить по всем вопросам, которые у Вас накопились.
    10 сентября 2013 г. 12:30
    Отвечающий