[решено] Политики учетных записей-политика паролей

zero55 · Отправлено: **15:07, 06-02-2012** | #2

Вы уверены что у вас родная политика Default Domain Policy?

Ваша ситуация типична когда политика пересоздана, вернее родная удалена а создана одноименная политика.
Поэтому действие и распространяется только на локальные учетные записи.

Если факт замены политики был то придется делать бэкап а потом восстанавливать дефолтовые политики с помощью утилиты dcgpofix
http://technet.microsoft.com/ru-ru/query/cc772811

Ivan Bardeen · Отправлено: **15:17, 06-02-2012** | #3

DOCznet,
Действие политики распространяется на КД?

DOCznet · Отправлено: **18:38, 07-02-2012** | #4

Default Domain Policy не распространяется и не должна распространяться на КД

Цитата zero55:

Цитировать »

Предположение с удалением политики вероятно. Неделей ранее решил заглянуть в INI файл политики на Sysvol'e и обнаружил что что бы я не менял через оснастку gpmc.msc d INI файле изменений не происходит, хотя изменения политики принимались доменными ПК корректно. После чего я зашел по дефолтному ярлыку в администрировании "Политика безопасности домена", так же увидел что все атрибуты по нулям. Выставил желаемые значения, после чего политика отсинхронилась везде. Но результата это так же не дало.

Попробовал последовать вашему совету - команда отработала успешно, но не сработало...

Есть еще варианты?

zero55 · Отправлено: **22:50, 07-02-2012** | #5

Заглянули в файл как? и что там? там максимум что может меняться это номер версии.

Имеется ввиду gpi.ini?

Какие атрибуты по нулям?
Какие значения выставили и где?

Отсинхронизировалась где? Сколько у вас контроллеров?

PS У меня подозрения что вам стоит проверить GUID-ы политик
Default Domain Policy
{31B2F340-016D-11D2-945F-00C04FB984F9}

Default Domain Controllers Policy
{6AC1786C-016F-11D2-945F-00C04fB984F9}

Ivan Bardeen · Отправлено: **07:34, 08-02-2012** | #6

Цитата DOCznet:

Default Domain Policy не распространяется и не должна распространяться на КД »

Именно поэтому у вас политика паролей и не работает.
1. Политика паролей должна действовать на контроллеры домена, где учетные записи и хранятся
2. дефолтные политики не стоит изменять, а оставить неизменными
3. создайте свою политику паролей и привяжите ее к OU domain controllers

zero55 · Отправлено: **07:51, 08-02-2012** | #7

Ivan Bardeen, Default Domain Policy действует на всех...
Если она родная

Если нет то она действует только на локальные учетные записи, на контроллерах их естественно нет.

В 2003-м домене может быть только одна парольная политика т.е. Default Domain Policy, все остальные будут действовать только на локальные учетки.

Автор, проверьте родные ли GUID-ы от политик. Если нет то для восстановления изначальных настроек используйте dcgpofix.

ЗЫ куда у вас прилинкована Default Domain Policy. Меня смущает что она у вас не действует на контроллеры...
Может у вас запрещено наследование или контроллеры перемещены из стандартного OU?

Ivan Bardeen · Отправлено: **08:31, 08-02-2012** | #8

zero55,

Цитата zero55:

Default Domain Policy действует на всех...
Если она родная. Если нет то она действует только на локальные учетные записи, на контроллерах их естественно нет »

Откуда этот бред, простите?

Вот здесь, в частности написано http://technet.microsoft.com/en-us/l.../cc875814.aspx
"It is a best practice to avoid modifying these built-in GPOs, if you need to apply password policy settings that diverge from the default settings, you should instead create a new GPO and link it to the root container for the domain or to the Domain Controllers OU and assign it a higher priority than the built-in GPO: If two GPOs that have conflicting settings are linked to the same container, the one with higher priority takes precedence."

И это работает, о чем я безуспешно пока пытаюсь сообщить автору

zero55 · Отправлено: **10:10, 08-02-2012** | #9

почему бред?
В домене Widnows 2003 может быть только одна парольная политика и желательно (я не говорю что обязательно) ее настроить в Default Domain Policy. Политика может задаваться ТОЛЬКО на уровне домена (В 2008-ом механизм изменен и там может быть множество парольных политик). Ни на уровне сайтов, ни на уровне OU политика паролей применяться не будет, а будет просто игнорироваться (при нескольких политиках rsop будет выдавать предупреждение что политика проигнорирована).

http://www.microsoft.com/technet/sec...gch03.mspx#EUE

Account policies, which include password policy, account lockout policy, and Kerberos policy security settings, are only relevant in the domain policy for all three environments that are defined in this guide.

Возможно неприменение политики из за Multihomed http://support.microsoft.com/kb/830513

Кстати... На контейнере Domain Controllers не установлена галка Block Inheritance?

PS оно работает (несколько политик) только в домене на Windows 2008

Ivan Bardeen · Отправлено: **10:24, 08-02-2012** | #10

zero55,
Бред, потому что - бред. Неважно, как вы видите, что настройки политики паролей, должны быть именно в дефолтной политике - как раз ее и не рекомендуется трогать вообще, а создать свою и привязать ее либо к OU Domain controllers или к корню домена. Поймите наконец - что парольные настройки доменных УЗ должны быть применены к контроллерам домена - это причина, все остальное - это следствия.
Про сервера 2008 я вообще не понял зачем вы их сейчас в пример привели? Там поведение абсолютно такое же и по той же причине. Разве что дополнительно парольные политики можно настраивать в объектах PSO.
КД вообще могут находиться в любой OU - тогда политика паролей должна быть применена к OU, где располагаются КД : )