|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Порядок применения политик в домене Windows 2003 |
|
|
Порядок применения политик в домене Windows 2003
|
Новый участник Сообщения: 8 |
Профиль | Отправить PM | Цитировать Здравствуйте,
в общем так: 1. На уровне домена (W2K3) привязана политика Default Domain Policy 2. На уровне OU Domain Controllers привязана политика Default Domain Controller Policy 3. Default Domain Policy распространяется на все ПК в домене. 4. Default Domain Controller Policy распространяется на контроллеры домена. Порядок применения политик д.б. следующим: сначала на уровне домена, потом на уровне OU (не принимая во внимания политику сайта и вложенных OU) Следовательно параметры из Default Domain Controller Policy должны переопределять параметры Default Domain Policy На уровне Default Domain Policy стоит минимальная длина пароля = 6, а на уровне Default Domain Controller Policy = 5 т.е. реально для локальных учетных записей ПК в домене должно получаться 6 (и это работает), а для доменных учетных записей должно выходить 5. Но когда пытаешься установить пароль для пользователя в домене = 5-ти - это не выходит, а на 6-ти все ОК! Я ничего не менял в привязках и настройках политик (отключение наследования, перекрывание ...) и новые не создавал. Пункты 1 и 2 это настройки на DC по умолчанию. п 3 и 4 это я так понимаю. суть идеи такова: если Default Domain Policy работает по умолчанию на всех ПК в домене, то я определяю, что пароль локальной учетной записи пользователя на ПК не может быть меньше 6 символов. так как доменные пользователи д.б. защищены сильнее, я хочу определить, что пользователи создаваемые в домене имели пароль 8 символов. Отсюда и весь этот эксперимент. А цифиры 5 и 6 выбраны для "чистоты" эксперимента и проверки срабатывания политик Для меня ситуация не понятная - ваши воображения? спасибо.... |
|
Отправлено: 09:09, 31-03-2006 |
Googler Сообщения: 3665
|
Профиль | Отправить PM | Цитировать Политика безопасности (в т.ч. и длина пароля) - одна для всех членов домена (Default Domain Policy). Все остальные политики будут переопределять только локальные политики компьютеров/серверов.
|
Отправлено: 09:15, 31-03-2006 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 4900
|
Профиль | Сайт | Отправить PM | Цитировать ars_zhava
Доменная политика не влияет на локальные учетные записи - это раз. Она влияет лишь на входящих в ДОМЕН пользователей. Если Вы воспользуетесь GPMC, то заметите, что сначала применяется локальная политика, затем OU, затем доменная. Для домен-контроллеров последней применяется Default domain controller policy, и, соответственно, если нет галки Enforced, то доменная политика перекрывает локальную. Т.к. на домен-контроллерах локальных пользователей нет, то в отношении паролей применяется доменная политика. |
------- Отправлено: 09:25, 31-03-2006 | #3 |
Новый участник Сообщения: 8
|
Профиль | Отправить PM | Цитировать "Доменная политика не влияет на локальные учетные записи" - получается, что определив параметр "Минимальная длина пароля" = 6-ти в политике Defaut Domain Policy, я не получу эту настройку на клиентском ПК-члене домена? Здесь мне кажется monkkey не прав!
Что касается контрллеров домена, в том то и вопрос: как расценивать политику Default Domain Controller Policy: как локальную (для DC) или как политику OU |
Отправлено: 09:37, 31-03-2006 | #4 |
Googler Сообщения: 3665
|
Профиль | Отправить PM | Цитировать Цитата:
Цитата:
|
|||
Отправлено: 09:45, 31-03-2006 | #5 |
Новый участник Сообщения: 8
|
Профиль | Отправить PM | Цитировать А можно ссылку на документ, откуда взята фраза: "A domain controller always obtains the account policy from the Default Domain Policy GPO, even if there is a different account policy applied to the OU that contains the domain controller."?
+ тогда все становится на свои места, и пример с переопределеним параметров из Account Policy был не самй лучший + получается, что действиетельно длина паролей в домене не зависимо от места хранения уч. записей (локально на машине или в домене) действительно д.б. одна и разделить ее нельзя! |
Отправлено: 12:05, 31-03-2006 | #6 |
Ветеран Сообщения: 4900
|
Профиль | Сайт | Отправить PM | Цитировать ars_zhava
1 Войдите в оснастку управления компьютером и посмотрите, какие локальные учетные записи существуют на компьютере. (Не путайте только доменных пользователей, локально работающих, и локальных) |
------- Последний раз редактировалось monkkey, 31-03-2006 в 14:49. Отправлено: 12:23, 31-03-2006 | #7 |
Ветеран Сообщения: 688
|
Профиль | Отправить PM | Цитировать статья на сайте
Консоль управления групповой политикой для Windows Server 2003 |
------- Отправлено: 15:25, 31-03-2006 | #8 |
Новый участник Сообщения: 8
|
Профиль | Отправить PM | Цитировать Всем огромное спасибо, всё понятно
|
Отправлено: 08:08, 03-04-2006 | #9 |
Старожил Сообщения: 360
|
Профиль | Отправить PM | Цитировать Подскажите пожалуйста как влияет на применение групповых политик опция Enforced для объекта групповой политики и опция Block Inheritance для организационной единицы?
|
Отправлено: 08:11, 13-05-2008 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Интернет - Ноутбук в домене Windows 2003 | DeMoN-ELF | Microsoft Windows 2000/XP | 3 | 22-08-2009 22:42 | |
2008 - Изменение политик учетных записей в 2008 домене | setup | Windows Server 2008/2008 R2 | 2 | 11-03-2008 08:25 | |
Применение старых политик в домене | sam_ea | Microsoft Windows NT/2000/2003 | 2 | 31-10-2007 14:45 | |
Групповые политики- порядок применения и наследование | shefford | Microsoft Windows NT/2000/2003 | 6 | 31-05-2007 17:03 | |
Построение иерархической структуры для применения групповых политик | philippov | Microsoft Windows NT/2000/2003 | 4 | 10-12-2006 12:47 |
|