Поставил Security Configuration and Analysis MMC
создал базу данных на темлейтеsecuredc.inf все это на DC
сделал Analyze Comuter Now

B Security Configuration=>Account Policies=>Account lockout threshold в столбце Database Settings находится
5 invalid logons attempts а в столбце Computer Settings находится
0 invalid logon attempts

открываю Local Security Settings
ставлю Account Policies=>Account lockout threshold на 5 invalid logons attempts

то же самое значение ставлю в Domain Controller Security Settings

Снова в Security Configuration and Analysis MMC делаю Analyze Comuter Now и получаю тот же результат

B Security Configuration=>Account Policies=>Account lockout threshold в столбце Database Settings находится 5 invalid logons attempts а в столбце Computer Settings находится 0 invalid logon attempts

т.е. ничего не изменилось

Почему ?


Исправлено: Narcom, 18:00 2-09-2003

Это связано с тем, что параметры политики учетных записей (Account Policies) регулируются только на уровне домена.
Т.е. другими словами они изменяются в политике Domain Security Settings и не переопределяются на уровнях ОУ (а вы как раз это и пытались сделать, тк Domain Controller Security Settings *это групповая политика, прилинкована к ОУ Domain Controllers)

PS не забывайте выполнять команду
secedit /refreshpolicy machine_policy /enforce
после изменения политик, тк политики обновляются каждые 5 минут по умолчанию.

SkyF
и в
Domain Security Settings
и в
Local Security Settings
одинаковые настройки (т е Account lockout threshold = 5)

Но
Security Configuration and Analysis MMC показывает что
Security Configuration=>Account Policies=>Account lockout threshold в столбце Database Settings находится
5 invalid logons attempts а в столбце Computer Settings находится
0 invalid logon attempts

изменения я сделал вчера затем сегодня
применил secedit /refreshpolicy machine_policy /enforce
но ничего не изменилось

что не правильно ???

Есть ли другие политики      в вашем домене кроме двух стандартных?
Если есть, то где они прописаны и в каком порядке следуют?


Не применяются политики только на одном клиенте домена или на всех?
те при значении 0 записи никогда не блокируются?


после secedit - что пишется в журнал приложений? успешное обновление политики или нет?

какой СП установлен?

SkyF

как я понял в
Domain Security Settings
Domain Controller Security Settings
Local Security Setting
все было по дефолту

Domain Security Settings - высший приоритет

реально блокировку аккаунтов не проверял а использовал Security Configuration and Analysis MMC

после secedit - в журнал приложений пишет что политика применена успешно только при повторной проверки с Security Configuration and Analysis MMC все без изменений.

после reload все Ok!

SP4 + updates

да и еще я здесь потестировал немного сначала
все после каждого опыта reload
проверка результатов - Security Configuration and Analysis MMC
опыт 1
Local Security Setting блокировку аккаунтов = 5
Domain Controller Security Settings блокировку аккаунтов = 0
Domain Security Settings блокировку аккаунтов = 0
результат - блокировка аккаунтов = 5.

опыт 2
Local Security Setting блокировку аккаунтов = 5
Domain Controller Security Settings блокировку аккаунтов = 4
Domain Security Settings блокировку аккаунтов = 0
результат - блокировка аккаунтов = 5.

опыт 3
Local Security Setting блокировку аккаунтов = 5
Domain Controller Security Settings блокировку аккаунтов = 4
Domain Security Settings блокировку аккаунтов = 6
результат - блокировка аккаунтов = 6.

итог:
Domain Security Settings - высший приоритет

Поэтому возникает вопрос достаточно ли использовать только Domain Security Settings и
почему не срабатывает secedit каждый раз reload это непозволительная роскошь.

Guest - Это я Narcom


secedit /refreshpolicy machine_policy /enforce
не помогает хотя в логе пишет мол групповая политика применена успешно
Security policy in Group policy object are appllied successfuly event ID 1704

только вот к чему применена политика к
Domain Security Settings или
Domain Controller Security Settings или
Local Security Setting ???

Исправлено: Narcom, 20:51 3-09-2003

итог:
Domain Security Settings - высший приоритет

Не высший приоритет, а просто настройки безопасности можно настраивать только на уровне домена, а не ниже, на уровне ОП.

Domain Controller Security Settings
применяется только к контроллерам домена. только.
и приоритет у нее будет выше, по всем параметрам, по которым возникает конфликты. Вот только если мы настроим политику блокировки тут - она не будет применена к доменным контроллерам, тк эта политика на уровне ОП (Domain Controllers).


И ещё, не забывайте, что есть ещё 2 особенности.
во-первых: разчно значения параметров "не задан" и "N попыток".. те если указано "не задан" - то не будут переопределяться значения заданные предыдущими политиками (например те , что указаны в Local sec settings).
во-вторых: настройки безопасности остаются такими, какими мы их задали. Т.е. если сначала указали (в доменной политике по умолчанию) 5 попыток входа, перезагрузились - стало 5 попыток, а потом сменили режим (там же) на "не задан" - то и останется как и было указано ранее , те 5 попыток и 5 попуток будет удерживаться до тех пор пока мы не укажем ВНОВЬ и ЯВНО вместо "не задан" - какое-либо другое значение.

только вот к чему применена политика к
Domain Security Settings или
Domain Controller Security Settings или
Local Security Setting ???

уточните, как это к чему?
они применяются к компьютерам и учетным записям.
но на разных уровнях.

на клиентах:
-локальная , а затем
-доменная по умолчанию

на контроллерах
-локальная , а затем
-доменная по умолчанию, а затем
-доменная по умолчанию для контроллеров
(только парам без-ти остаются такие же как указаны в доменная по умолчанию)

SkyF

Спасибо за объяснения пойду читать про AD