none
Применение групповых политик.

    Вопрос

  • Доброго времени суток!

    Итак, вот что есть.

    1.На доменном уровне групповая политика по паролям гласит, что пароль должен быть сложным и состоять не менее чем из 6 символом.

    2.На уровне OU политика определяет, что пароль может быть не менее трех символов и может быть простым.Ну есть в организиции люди, которым не втолкуешь что такое безопасность и бороться с ними - только себе вредить(ген.дир) ;)

    3.Но на уровне OU при создании пользователя с паролем из трех символов выдается ошибка (Запрещено групповыми политиками). При исследовании политик в режиме моделирования выдается, что пароль действительно может быть из трех символов и может быть простым и эта политика как раз применяется из политики на OU. Но в это же время есть такое сообщение:

    процессор обработки политики не пытался настроить параметр. доп.инфо приведена в ..... (путь к логу) на целевом компьютере.
     
    Целевого компьютера, как я понимаю еще нет, он еще не введен в домен, только создан пользователь этого компьюетера.В логах на домен-контроллере (winlogon.log) пишется, что все политики применены успешно, но есть одна ошибка:
    "ошибка 0 при передаче управляющего флага 1 серверу", а все остальное применено успешно.
     
    Помогите пожалуйста с проблемой.
    С уважением,
    Александр.
    1 февраля 2007 г. 14:59

Ответы

  • Дело в том, что политика паролей (как и все политики учетных записей) применяется к доменным учетным записям, которые находятся на контроллерах домена, а не на рабочих станциях. Поэтому всякие запреты наследования бесполезны, т.к. применяются не там.

    К сожалению, невозможно предложить что-либо разумное, не создавая отдельный домен. Разве что внедрить для группы пользователей аутентификацию по смарт-картам - руководству обычно это нравится.  

     

    1 февраля 2007 г. 16:12
    Модератор

Все ответы

  • Вы можете назначить иную политику паролей на уровне OU, но она будет применяться только к локальным учетным записям пользователей, которые могут быть определены на компьютерах, входящих в данную OU. К доменным пользователям применяется единая политика паролей, определенная на уровне домена.

    Так что ваша задача не имеет решения в рамках одного домена.

     

    1 февраля 2007 г. 15:15
    Модератор
  • Но все-таки, можно ведь запретить распостранение груповой политики на конкретную OU, правда?

    Так что мешает на уровне домена определить одну политику, он перекрыть ее другой, как в этом случае менее требовательной к паролям?

    Я уже игрался с запретом наследования, запретом перекрытия и т.д.

    Неужели нельзя сделать то, что я хочу?

    Если нет, то как это можно сделать не в рамках одного домена?

    Создать для ген.дира. свой домен?

    Но это ведь не выход...э :(

    1 февраля 2007 г. 15:55
  • Дело в том, что политика паролей (как и все политики учетных записей) применяется к доменным учетным записям, которые находятся на контроллерах домена, а не на рабочих станциях. Поэтому всякие запреты наследования бесполезны, т.к. применяются не там.

    К сожалению, невозможно предложить что-либо разумное, не создавая отдельный домен. Разве что внедрить для группы пользователей аутентификацию по смарт-картам - руководству обычно это нравится.  

     

    1 февраля 2007 г. 16:12
    Модератор
  • Но подождите, Вы одновременно говорите о том, что политики применяются к доменным учетным записям и в то же время эти учетные записи хранятся на домен-контроллере, почему же я не могу применить другую политику к учетным записям, которые находятся в другой OU?

    Ведь в остальных случаях политики-то работают? Если применить какую-то политики на OU, то она, по-умолчанию переопределит политику, которая задана уровнем выше (на домен).

    Не изменять же доменную политику каждый раз, перед тем, как ввести пользователя со слабым паролем? :)

    Пока это единственное, к чему я додумался...

    А может ли еще кто-то что-то сказать?

    Соберем консилиум, а? :)

    1 февраля 2007 г. 16:29
  • Еще раз повторюсь - доменные учетные записи физически хранятся на контроллерах домена. Политика паролей применяется к компьютерам,  а не к пользователям, поэтому, применяя политику паролей на уровне OU, вы сможете влиять только на локальные учетные записи, определенные на компьютерах, которые входят в это OU.

     

    1 февраля 2007 г. 17:20
    Модератор
  • В домене не может быть двух действующих политик длинны пароля. Политика паролей действует только одна, так которая выставлена на уровне домена, например Default Domain Policy, т.к. доменные (а не локальные) учетные записи хранятся на контроллерах домена.

    Контроллеры домена никакого отношения не имеют к локальным учетным записям пользователей, т.к. хранятся последние в sam.

    И кстати локальные учетные записи пользователей НЕ могут входить ни в какие OU домена.

    Требование использования измененных политик пароля - одно из условий необходимости более одного домена в одной организации.

    2 февраля 2007 г. 0:43
  • Guys,

    Политика паролей является исключением из общего механизма определения и наследования политик. Она может задаваться ТОЛЬКО на уровне домена. Ни на уровне сайтов, ни на уровне OU политика паролей применяться не будет, а будет просто игнорироваться. Сорри, конечно, но это азбучная информация, на интервью любят этот вопрос задавать.

    http://www.microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/s3sgch03.mspx#EUE

    Account policies, which include password policy, account lockout policy, and Kerberos policy security settings, are only relevant in the domain policy for all three environments that are defined in this guide.

    http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/strngpw.mspx#EMD

    There can be only a single password policy for each account database. An Active Directory domain is considered a single account database, as is the local account database on stand-alone computers.

    2 февраля 2007 г. 3:47
  •  osr. написано:

    Политика паролей применяется к компьютерам, а не к пользователям

    Come on. Это вопиюще неверно.

    2 февраля 2007 г. 3:50
  •  Jоker написано:
     osr. написано:

    Политика паролей применяется к компьютерам, а не к пользователям

    Come on. Это вопиюще неверно.

    Joker, может быть, сказано неудачно, но вы же понимаете, что это верно. Политики паролей находятся в разделе Computer Configuration, а значит применяются к компьютерам. Даже если рассматривать локальные учетные записи, они применяются сразу ко всем учетным записям, их нельзя настроить для каждой индивидуально.

     

    2 февраля 2007 г. 7:09
    Модератор
  • Вообщем всем спасибо :)

    Похоже это тот случай, когда это не баг, а фича :)

    Будем знать ;)

    2 февраля 2007 г. 7:25
  • To Joker:

    "However, local account policies for member computers can be differentiated from the domain account policy by defining an account policy for the OU that contains the member computers."

    http://technet2.microsoft.com/WindowsServer/en/library/4ca0ea83-3e0b-480f-8dcc-1b9f923326c31033.mspx?mfr=true

     

    2 февраля 2007 г. 7:27
    Модератор
  •  osr. написано:

    To Joker:

    "However, local account policies for member computers can be differentiated from the domain account policy by defining an account policy for the OU that contains the member computers."

    http://technet2.microsoft.com/WindowsServer/en/library/4ca0ea83-3e0b-480f-8dcc-1b9f923326c31033.mspx?mfr=true

    Если под этим Вы понимаете, что политика паролей, определенная на уровне OU, повлияет на пароли доменных пользователей, то это неверно. Вы же понимаете, что доменным пользователям начхать на то, в каком OU находится какой-то там компьютер, они-то сами могут при этом находиться где угодно. Процитированная фраза на самом деле не очень внятно написана, надо бы этот документ переписать попонятнее.

    А вот повлияет ли политика паролей на уровне OU на пароли локальных пользователей тех компьютеров, которые входят в данный OU, это очень интересный вопрос. Я об этом не думал и не тестировал - если кто проверит, дайте знать, любопытно.

    2 февраля 2007 г. 22:39
  •  osr. написано:
     Jоker написано:
     osr. написано:

    Политика паролей применяется к компьютерам, а не к пользователям

    Come on. Это вопиюще неверно.

    Joker, может быть, сказано неудачно, но вы же понимаете, что это верно. Политики паролей находятся в разделе Computer Configuration, а значит применяются к компьютерам. Даже если рассматривать локальные учетные записи, они применяются сразу ко всем учетным записям, их нельзя настроить для каждой индивидуально.

    Политики раздела Computer Configuration применяются к компьютерам, это верно. Но в данном случае мы имеем исключение (о чем я и говорил в самом начале). Компьютерные учетные записи, точно так же как пользовательские (между ними вообще мало разницы, кроме доллара на хвосте :)), имеют пароль. Политика паролей к паролям компьютерных учетных записей не применяется. Так что исходная фраза все-таки неверна :)

    2 февраля 2007 г. 22:44
  • Да то что прописная истина - и так понятно.

    Вот только GPMC-Planning показывает что политика паролей на каком-нибудь OU применяется и имеет силу  (тогда как Logging говорит правду)

    наверное это и вводит в искушение малоопытных товарищей.

    3 февраля 2007 г. 2:21
  •  Jоker написано:
     osr. написано:
     Jоker написано:
     osr. написано:

    Политика паролей применяется к компьютерам, а не к пользователям

    Come on. Это вопиюще неверно.

    Joker, может быть, сказано неудачно, ....

    Политики раздела Computer Configuration применяются к компьютерам...

    во, классное окошко получилось :D:D

    еще пару раз и будет Малевич

    3 февраля 2007 г. 2:32