none
Не работает парольная политика RRS feed

  • Общие обсуждения

  • Домен левел 2003. КД как 2003 так и 2008.

    Парольную политику создавал лет 5-6 назад. Параметры : макс. срок действия пароля, длина пароля и т.д. выставлял одинаковыми в 2 политиках - default domain policy и default domain controller policy. Иначе не работало, т.к. на контейнере Domain Controllers с КД стоит галка "Блокировать наследование". Насколько я помню - параметры парольной политики должны быть одинаковыми для КД и простых компов в таком случае.

    Нынче возникла необходимость ужесточить парольную политику. Меняю например "макс. срок действия пароля" в обеих политиках. Не работает !

    На КД смотрю в rsop.msc, свойства "Конфигурация компьютера" показывает все ОК, применились все политики на контейнере Domain Controllers, в том числе и default domain controller policy с новыми параметрами, но ! - 

    Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политика учетных записей\Политика паролей\* --все параметры "НЕ ОПРЕДЕЛЕНО"......

    Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политика учетных записей\Политика блокировки  учетной записи\* --все параметры "НЕ ОПРЕДЕЛЕНО"......

    Хотя Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Политики аудита\* значения приходят и обновляются от политики default domain controller policy

    Куда рыть ?

    Заранее благодарю.

    20 июня 2013 г. 5:36

Все ответы

  • Видимо надо снять "Блокировать наследование"

    http://support.microsoft.com/kb/269236

    20 июня 2013 г. 7:25
  • а зачем вы блокируете наследование на контейнере с контроллерами?
    20 июня 2013 г. 8:52
  • Домен получил в руки несколько лет назад с такой настройкой. Не трогал, не исправлял ибо если всё работает то и нечего ломать. Сейчас, до отключения блокировки наследования, анализирую и правлю в "Делегирование" все политики на уровне корень домена и уровне сайтов для исключения влияния не нужных политик для контроллеров. Для каждой политики в "Делегирование" есть группа "КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ". Жмакаю правой мышкой , "Свойства" не доступно. Ищу в домене группу "Контроллеры", найдены 3 группы :

    "Контроллеры домена", "Контроллеры домена-только чтение", "Контроллеры домена предприятия-только чтение".

    Группа "Контроллеры домена" - содержит все КД домена, 

    группа "Контроллеры домена-только чтение" - содержит один КД RODC,

    группа "Контроллеры домена предприятия-только чтение" -пусто.

    И не понятно до конца - в "Делегирование" группа "КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ" - это какая группа из 3 найденых ?

    А раз непонятно, то добавляю в "Делегирование" каждой не нужной политики группу "Контроллеры домена" и запрещаю применение этой политики для группы.

    Блокирование наследования видимо включено было для безопасного исключение КД из процесса создания-применения различных политик... установка ПО например и т.д., таких много....  Все что нужно сделать для КД - делается на уровне контейнера "Domain Controllers" и не надо вспоминать про КД при создании новой политики для чего либо....

    20 июня 2013 г. 9:59
  • политики для чего либо не надо создавать на уровне домена, а следует это делать на нужных OU

    25 июня 2013 г. 18:48
  • Убрал с OU "Domain Controllers" блокировку наследования. В политике Default Domain Policy установлены параметры парольной политики. 

    Перезагружаю контроллер, смотрю на нем в rsop.msc = все параметры парольной политики "Не определено" ....

    Смотрю в gpresult /z . Default Domain Policy применяется как и несколько других политик, которые не содержат переопределяющих параметров парольной политики. Смотрю в раздел 

           Политики учетных записей
            ------------------------
                GPO: Default Domain Policy
                    Политика:             MaxRenewAge
                    Параметры компьютера: 7

                GPO: Default Domain Policy
                    Политика:             MaxServiceAge
                    Параметры компьютера: 600

                GPO: Default Domain Policy
                    Политика:             MaxClockSkew
                    Параметры компьютера: 5

                GPO: Default Domain Policy
                    Политика:             MaxTicketAge
                    Параметры компьютера: 10

    Смотрю для сравнения в gpresult /z на обыкновенном компе домена в раздел 

            Политики учетных записей
            ------------------------
                GPO: Default Domain Policy
                    Политика:             LockoutDuration
                    Параметры компьютера: 5

                GPO: Default Domain Policy
                    Политика:             MaximumPasswordAge
                    Параметры компьютера: 42

                GPO: Default Domain Policy
                    Политика:             MinimumPasswordAge
                    Параметры компьютера: Н/Д

                GPO: Default Domain Policy
                    Политика:             ResetLockoutCount
                    Параметры компьютера: 5

                GPO: Default Domain Policy
                    Политика:             LockoutBadCount
                    Параметры компьютера: 5

                GPO: Default Domain Policy
                    Политика:             PasswordHistorySize
                    Параметры компьютера: 15

                GPO: Default Domain Policy
                    Политика:             MinimumPasswordLength
                    Параметры компьютера: 7

    На контроллере домена должна быть такая же картина......

    Проверил остальные кд, так же параметры парольной политики "не определено".....

    Коллеги, куда рыть ?

    27 июня 2013 г. 9:30
  •  Суть проблемы не очень понятна. Уровень домена 2003, насколько я понял. Для этого уровня домена будет работать толька одна политика паролей Default domain Policy!!!

    Никакими запретами наследования политик изменить политику паролей нельзя!

    Если хочешь чтобы к отдельной OU применялась другая политика паролей  - будет работать только с уровнем домена 2008 R2. По другому - ну никак!

    • Изменено devril_admin 11 июля 2013 г. 9:26 корректировка
    11 июля 2013 г. 9:24
  • Здравствуйте!

    Где хранятся компьютеры у вас? Если каталоге Comtuters, то про какое применение политик компьютера мы говорим? Политики применяются на OU. А уровень леса и домена тут не причем, политика есть и она должна работать.


    11 июля 2013 г. 9:48
  • Коллега выше хотел сказать , что применить можно только одну политику паролей, если у вас уровень домена 2003. Поэтому Fine Grained политики и выстрелили в 2008-м году.

    >Где хранятся компьютеры у вас? Если каталоге Comtuters, то про какое применение политик компьютера мы говорим?

    Например, про применение доменных политики, т.е.прилинкованных к домену.

    А конкретно, мы говорим о применении доменных политик паролей.

    11 июля 2013 г. 10:10