Помогите разобраться почему не срабатывает политика

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)

Помогите разобраться почему не срабатывает политика

Приветствую!
Решил подразобраться с доменом. КД на Server 2012 R2.
Задача элементарная - ограничить количество попыток ввода пароля при входе через RDP на контроллер домена.
Делаю так:
gpmc.msc, затем настраиваю:

Затем cmd -> gpupdate /force

Пробую зайти через RDP на контроллер домена, ввожу 5 раз неправильный пароль, затем ввожу правильный пароль и сразу же попадаю на рабочий стол сервера, т.е. учетка не блокируется.

gpresult /r показывает, что политика применяется.:

Код:

Примененные объекты групповой политики

---------------------------------------

Default Domain Controllers Policy

Default Domain Policy

Local Group Policy

Пробовал дублировать настройки в Default Domain Policy, толку 0

1. Сделать настройки в Default Domain Policy
2. На контроллере выполнить GPUpdate
3. Проверяем, получаем на выходе:
Файл 131927

4. Данное правило не распространяется на встроенного администратора. Чтобы блокировать и его тоже, гуглим PASSPROP.exe

Цитата:

Цитата WindowsNT

4. Данное правило не распространяется на встроенного администратора. Чтобы блокировать и его тоже, гуглим PASSPROP.exe »

Ясно, как раз со встроенным админом я это и пытался провернуть

P.S. Погуглил про PASSPROP.exe. Я так понимаю на 2012 Server его не существует. Прямо таки замкнутый круг, т.е. выходит встроенную учетку администратора контроллера домена не никак защитить от перебора пароля?

Политика паролей применяется только из политик, прилинкованных на корень домена. Из других OU политики паролей действовать не будут.
Для более детальной настройки можно использовать Fine-Graned passwrod policies.

Passprop работает на всех NT, в том числе на 2012, просто там какие риски — в случае блокировки администратор не может зайти на контроллер даже интерактивно. Раньше мог.