Порядок применения политик в домене Windows 2003
 

Здравствуйте,
в общем так:
1. На уровне домена (W2K3) привязана политика Default Domain Policy
2. На уровне OU Domain Controllers привязана политика Default Domain Controller Policy
3. Default Domain Policy распространяется на все ПК в домене.
4. Default Domain Controller Policy распространяется на контроллеры домена.

Порядок применения политик д.б. следующим: сначала на уровне домена, потом на уровне OU (не принимая во внимания политику сайта и вложенных OU)
Следовательно параметры из Default Domain Controller Policy должны переопределять параметры Default Domain Policy
На уровне Default Domain Policy стоит минимальная длина пароля = 6, а на уровне Default Domain Controller Policy = 5

т.е. реально для локальных учетных записей ПК в домене должно получаться 6 (и это работает), а для доменных учетных записей должно выходить 5.

Но когда пытаешься установить пароль для пользователя в домене = 5-ти - это не выходит, а на 6-ти все ОК!

Я ничего не менял в привязках и настройках политик (отключение наследования, перекрывание ...) и новые не создавал. Пункты 1 и 2 это настройки на DC по умолчанию. п 3 и 4 это я так понимаю.

суть идеи такова: если Default Domain Policy работает по умолчанию на всех ПК в домене, то я определяю, что пароль локальной учетной записи пользователя на ПК не может быть меньше 6 символов.
так как доменные пользователи д.б. защищены сильнее, я хочу определить, что пользователи создаваемые в домене имели пароль 8 символов.

Отсюда и весь этот эксперимент. А цифиры 5 и 6 выбраны для "чистоты" эксперимента и проверки срабатывания политик

Для меня ситуация не понятная - ваши воображения? спасибо....

Политика безопасности (в т.ч. и длина пароля) - одна для всех членов домена (Default Domain Policy). Все остальные политики будут переопределять только локальные политики компьютеров/серверов.

ars_zhava
Доменная политика не влияет на локальные учетные записи - это раз. Она влияет лишь на входящих в ДОМЕН пользователей. Если Вы воспользуетесь GPMC, то заметите, что сначала применяется локальная политика, затем OU, затем доменная. Для домен-контроллеров последней применяется Default domain controller policy, и, соответственно, если нет галки Enforced, то доменная политика перекрывает локальную. Т.к. на домен-контроллерах локальных пользователей нет, то в отношении паролей применяется доменная политика.

"Доменная политика не влияет на локальные учетные записи" - получается, что определив параметр "Минимальная длина пароля" = 6-ти в политике Defaut Domain Policy, я не получу эту настройку на клиентском ПК-члене домена? Здесь мне кажется monkkey не прав!

Что касается контрллеров домена, в том то и вопрос: как расценивать политику Default Domain Controller Policy: как локальную (для DC) или как политику OU

Политика безопасности устанавливается по своим правилам:

А можно ссылку на документ, откуда взята фраза: "A domain controller always obtains the account policy from the Default Domain Policy GPO, even if there is a different account policy applied to the OU that contains the domain controller."?
+ тогда все становится на свои места, и пример с переопределеним параметров из Account Policy был не самй лучший + получается, что действиетельно длина паролей в домене не зависимо от места хранения уч. записей (локально на машине или в домене) действительно д.б. одна и разделить ее нельзя!

ars_zhava
1
Войдите в оснастку управления компьютером и посмотрите, какие локальные учетные записи существуют на компьютере.
(Не путайте только доменных пользователей, локально работающих, и локальных)

статья на сайте
Консоль управления групповой политикой для Windows Server 2003

Всем огромное спасибо, всё понятно

Подскажите пожалуйста как влияет на применение групповых политик опция Enforced для объекта групповой политики и опция Block Inheritance для организационной единицы?

Опция Enforced распространяет групповую политику на OU и все вложенные OU, вне зависимости от имеющегося на них параметра Block Inheritance, который как раз и создан для того, чтобы блокировать всё вышестоящие (ранее применяемые) групповые политики.

Вариант 1.
1. Создаю GPO и привязываю его к родительской OU.
2. Изменяю параметр X на состояние Disabled. Включаю на родительской GPO опцию Enforced .
3. Создаю GPO и привязываю его к дочерней OU.
4. Изменяю параметр X на состояние Enabled. Включаю на дочерней OU опцию Block Inheritance.

В результате к объектам в дочерней OU параметр X будет применен с состоянием Disabled.

Вариант 2.
1. Создаю GPO и привязываю его к родительской OU.
2. Изменяю параметр X на состояние Disabled. Не включаю на родительской GPO опцию Enforced .
3. Создаю GPO и привязываю его к дочерней OU.
4. Изменяю параметр X на состояние Enabled. Включаю на дочерней OU опцию Block Inheritance.

В результате к объектам в дочерней OU параметр X будет применен с состоянием Enabled.

Правильно?

Теперь еще два варианта:

Вариант 3.
1. Создаю GPO и привязываю его к родительской OU.
2. Изменяю параметр X на состояние Disabled. Не включаю на родительской GPO опцию Enforced .
3. Создаю GPO и привязываю его к дочерней OU.
4. Изменяю параметр X на состояние Enabled. Не включаю на дочерней OU опцию Block Inheritance.

С каким состоянием применится параметр X для объектов дочерней OU?

Вариант 4.
1. Создаю GPO и привязываю его к родительской OU.
2. Изменяю параметр X на состояние Disabled. Включаю на родительской GPO опцию Enforced .
3. Создаю GPO и привязываю его к дочерней OU (OU1).
4. Изменяю параметр X на состояние Enabled. Включаю на дочерней GPO опцию Enforced .
5. Внутри дочерней OU создаю еще одну OU (OU2).

С каким состоянием применится параметр X для объектов OU2?

Вроде и модератор, а такую ерунду несет. Это не верно, т.к
http://blogs.technet.com/b/musings_o...ct-part-2.aspx