День добрый!

Проблема следующая. Установлена система Windows 2003 Server Enterprise Edition SP1.
Один из режимов сервера - контроллер домена.
Все хорошо, но только вот изменения групповой политики домена почему-то не воспринимаются. Т.е. при задании юзеру пароля, требуется соблюдать "cimplexity requirements", хотя в политике это отключено.

Политика следующая:

Policy Policy Setting

Enforce password historн ----------------------- 0 passwords remembered
Maximum password age ------------------------- 365 days
Minimum password agу ------------------------- 0 days
Minimum password length ----------------------- 1 characters
Password must meet complexity requirements ---- Disabled
Store passwords using reversible encryption ------ Disabled

Пробовал создавать новые политики и задействовать их - безрезультатно.

Если кто что знает - выручайте...

Secedit /?- пробовали ...??
или принудительно обновить Gpupdate /?

Только что попробовал

gpupdate /force

Никаких изменений. =(

rooty
возьмите с www.microsoft.com утилиту GPMC (Group Policy Managment Console) и выполняем анализ работы групповых политик.
в частности для режима требования сложности мы сможем увидеть какая политика домена его включает. потом найти ее в домене и настроить как необходимо.

Политика следующая:

Policy Policy Setting
что это за политика? куда он прилинкована (домен или отдельное ОУ), какие еще политики есть в домене (или даже внутри этого ОУ).
Думаю, что требования сложности у вас настраивает политика безопасности домена по умолчанию (Defaul Domain Security Policy - доступная для изменения через Administrative tools), а вы , возможно, создали собственную политику, но ее приоритет ниже чем у встроенной, поэтому ее настройки (которые вы привели) и не применяются. В приципе и это решается. только нужно знать сколько политик у вас и где они.

Кроме того Windows Server 2003 имеется встроенный инструмент анализа политик - оснастка Resultant Set of Policy (доступ к ней через консоль MMC.EXE), которая является облегченной версией анализатора GPMC

RaZZoRRoSecedit /?- пробовали ...??
нельзя его пробовать - тк используется Windows Server 2003, а в ней обновление политики только через команду gpupdate

Огромная СПАСИБА!!!

Скачал GPMC. Там сразу стало видно, что стоит фильтр на политику. Почему-то Defaul Domain Security Policy применялась только для администраторов домена. Добавил всех, затем: gpupdate /force. Теперь все замечательно.

Еще раз огромное спасибо за оперативную помощь!

2 SkyF
вы правы ... secedit ... нельзя использовать..

почему нельзя? можно и даже нужно =)
если имеется ввиду:
Gpupdate
Обновляет параметры локальной групповой политики и параметры групповой политики, сохраненные в Active Directory, в т. ч. параметры безопасности. Эта команда заменяет устаревший параметр /refreshpolicy команды secedit.
HelpSvc Windows 2003
а если Secedit используется для:
Настраивает и анализирует безопасность системы, сравнивая текущую конфигурацию хотя бы с одним шаблоном.
почему нет?

почему нельзя? можно и даже нужно
в данном случае нельзя. тк нужно обновлять именно доменную политику.
в XP и 2003 это можно сделать только при помощи gpupdate.

secedit в этих системах уже не содержит ключа /refreshpolicy
а если Secedit используется для:

Цитата:
Настраивает и анализирует безопасность системы, сравнивая текущую конфигурацию хотя бы с одним шаблоном.
в том-то и соль, что у rooty такой необходимости нет.

наверное с моей стороны приведена
не совсем корректная (чит. полная)) формулировка и выдержка из текста
действительно, командs secedit в след. версиях после Windows 2000
не имеет параметра /refreshpolicy и данная опция заменена
отдельной командой Gpupdate (http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/b846f817-e308-442c-bcde-daa4a99c1ecf.mspx)
и в данном случае:
>>secedit ... нельзя использовать..
загвоздка не в неВОЗМОЖНОСТИ использовать данную команду на данной ОС,
а скорее в ее необходимости и надобности в данном случае

по дальнейшим вопросам обсуждения применения ОГП лучше идти вот сюда:
fix! ошибка 1024 Userenv Проблема с приминением GPO на членах домена. (http://forum.oszone.net/showthread.php?t=1826)
тему пока не закрываю, но продолжайте там.

спасибо.

Домен WIN2000 SP3 (контроллер)+WIN2000 SP3, WIN2003(сервер)+AD+DHCP+DNS
Клиенты WIN98SE, WIN XP PRO (SP1)
Проблема вот в чём:
Не применяется политика безопасности в домене.
Устанавливаю политику паролей
длину пароля, время жизни и т.д.
Толку от этого ноль.
Хотя ранее работало. Не может быть такого, что на это повлияло включение
WIN2003 серверов в домен ?
Может есть соображения ??

rooty
Спасибо за оперативность.
Эту ссылку я видел, да вот только не понял как запустить
GPMC (Group Policy Managment Console)
на 2000 контроллере.
И почёму подломилось, вроде ничего не трогал уже давно.

Или не не обязательно на контроллере ?

gpresult запускали? Что пишется?

ЗЫ А PDC последние дни не перегружали?

rooty
Результат gpresult:

Microsoft (R) Windows (R) 2000 Operating System Group Policy Result tool
Copyright (C) Microsoft Corp. 1981-1999


Created on 19 октября 2005 г. at 13:14:23


Operating System Information:

Operating System Type: Domain Controller
Operating System Version: 5.0.2195.Service Pack 4
Terminal Server Mode: Remote Administration

###############################################################

User Group Policy results for:

CN=Administrator,CN=Users,DC=SRV,DC=local

Domain Name: SRV
Domain Type: Windows 2000
Site Name: Default-First-Site-Name

Roaming profile: (None)
Local profile: C:\Documents and Settings\Administrator

The user is a member of the following security groups:

SRV\Пользователи домена
\Все
BUILTIN\Администраторы
BUILTIN\Пользователи
SRV\AIS
SRV\Владельцы-создатели групповой политики
SRV\Администраторы домена
SRV\Администраторы схемы
SRV\Администраторы предприятия
\ЛОКАЛЬНЫЕ
NT AUTHORITY\ИНТЕРАКТИВНЫЕ
NT AUTHORITY\Прошедшие проверку


###############################################################

Last time Group Policy was applied: 19 октября 2005 г. at 13:13:52



###############################################################

Computer Group Policy results for:

CN=SERVER1,OU=Domain Controllers,DC=SRV,DC=local

Domain Name: SRV
Domain Type: Windows 2000
Site Name: Default-First-Site-Name


The computer is a member of the following security groups:

BUILTIN\Администраторы
\Все
BUILTIN\Пользователи
NT AUTHORITY\СЕТЬ
NT AUTHORITY\Прошедшие проверку
SRV\SERVER1$
SRV\Контроллеры домена
SRV\Издатели сертификатов
NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ

###############################################################

Last time Group Policy was applied: 19 октября 2005 г. at 13:11:12
Group Policy was applied from: server1.SRV.local


===============================================================


The computer received "Registry" settings from these GPOs:

Политика локальной группы


===============================================================
The computer received "Security" settings from these GPOs:

Политика локальной группы
Отказ регистрации
Default Domain Controllers Policy


===============================================================
The computer received "EFS recovery" settings from these GPOs:

Политика локальной группы
********************************************



Кажется криминала не видно ?
оказывается SP4 (уже забыл) - не влияет ?
перевод домена из смешанного в основной - не влияет ?
перезагрузка PDC ничего не дает, да и явно PDC в WIN2000 как в NT4 нет
rooty

Елси я правильно понял, то вы запускали gpresult на контроллере под пользователем "Administrator". А вы проверяли применяется ли ваша политика для этого пользователя на контроллере? Попробуйте посмотреть параметры gpresult для пользователя и компьютера, с которомыми заведомо есть проблема с политикой.

Прошу прощения за долгое отсутствие, работы не в проворот.

rooty

Елси я правильно понял, то вы запускали gpresult на контроллере под пользователем "Administrator". А вы проверяли применяется ли ваша политика для этого пользователя на контроллере? Попробуйте посмотреть параметры gpresult для пользователя и компьютера, с которомыми заведомо есть проблема с политикой.

Именно так. А не применяется политика нигде, а именно 120-140 клиентов WIN98, WIN XP


не нужно заниматься самомодерацией
если вы хотите сообщить модераторам что либо,
воспользуйтесь соотв. возможностью и отправьте личное сообщение

??? В чём проблемы. По моим постам вроде подобного ничего небыло.

AlikPanНе применяется политика безопасности в домене.
Устанавливаю политику паролей
длину пароля, время жизни и т.д.
Толку от этого ноль.
Хотя ранее работало. Не может быть такого, что на это повлияло включение
WIN2003 серверов в домен ?
Может есть соображения ??

во-первых, укажите где вы эти изменения вносить, ЧТо за объект групповой политики?
ккда он прилинкован (на какое подразделение, уровень домена), есть ли еще другие ОГП на этом уровне?

во-вторых, настройки которые изменяюте - настраиваются только для уровня всего домена, на уровне подразделения этого сделать нельзя (это может быть одной из причин вашей ситуации)

в-третьих, GPMC, кажется можено установить на XP клиента домена (почитайте доку по этому инструменту).

в-четверых, в самой XP - есть консоль проверки применения ОГП на этого клиента - rsop.msc


GPMC вам смогла бы помочь от того что она показывает какой ОГП из домена определяет тот или иной параметр безопаснсости.
и вы бы смогли увидеть - кто конкретно контролирует назначение и ограничение политик для клиентов.

и еще , вот вы привели результат gpresult, а где в этом отчете название тех политик, которые применяются для пользоввателя и компьютера? нет их пусто.. ни одна из политик не применяется что-ли?

SkyF
в-четверых, в самой XP - есть консоль проверки применения ОГП на этого клиента - rsop.msc
точно есть
и еще , вот вы привели результат gpresult, а где в этом отчете название тех политик, которые применяются для пользоввателя и компьютера? нет их пусто.. ни одна из политик не применяется что-ли?
именно так и оказалось
Всё, вроде разобрался. Спасибо. Можно тему закрыть.

Здравствуйте !!!
Подскажите пожалуйста в чем может быть проблема.
Выставляю политику домена Default Domain Policy, а иммено палитику паролей (на остальное это не распространяется) и через некоторое время она меняет самопроизвольно значение на установленное ранее. В чем может быть проблема и как ее отследить.
Заранее спасибо жду ответов.