|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Порядок применения политик в домене Windows 2003 |
|
||||
|
|
Порядок применения политик в домене Windows 2003
|
|
Новый участник Сообщения: 8 |
Здравствуйте,
в общем так: 1. На уровне домена (W2K3) привязана политика Default Domain Policy 2. На уровне OU Domain Controllers привязана политика Default Domain Controller Policy 3. Default Domain Policy распространяется на все ПК в домене. 4. Default Domain Controller Policy распространяется на контроллеры домена. Порядок применения политик д.б. следующим: сначала на уровне домена, потом на уровне OU (не принимая во внимания политику сайта и вложенных OU) Следовательно параметры из Default Domain Controller Policy должны переопределять параметры Default Domain Policy На уровне Default Domain Policy стоит минимальная длина пароля = 6, а на уровне Default Domain Controller Policy = 5 т.е. реально для локальных учетных записей ПК в домене должно получаться 6 (и это работает), а для доменных учетных записей должно выходить 5. Но когда пытаешься установить пароль для пользователя в домене = 5-ти - это не выходит, а на 6-ти все ОК! Я ничего не менял в привязках и настройках политик (отключение наследования, перекрывание ...) и новые не создавал. Пункты 1 и 2 это настройки на DC по умолчанию. п 3 и 4 это я так понимаю. суть идеи такова: если Default Domain Policy работает по умолчанию на всех ПК в домене, то я определяю, что пароль локальной учетной записи пользователя на ПК не может быть меньше 6 символов. так как доменные пользователи д.б. защищены сильнее, я хочу определить, что пользователи создаваемые в домене имели пароль 8 символов. Отсюда и весь этот эксперимент. А цифиры 5 и 6 выбраны для "чистоты" эксперимента и проверки срабатывания политик Для меня ситуация не понятная - ваши воображения? спасибо.... |
|
|
Отправлено: 09:09, 31-03-2006 |
|
Googler Сообщения: 3665
|
Профиль | Отправить PM | Цитировать Политика безопасности (в т.ч. и длина пароля) - одна для всех членов домена (Default Domain Policy). Все остальные политики будут переопределять только локальные политики компьютеров/серверов.
|
|
Отправлено: 09:15, 31-03-2006 | #2 |
|
Ветеран Сообщения: 4904
|
Профиль | Сайт | Отправить PM | Цитировать ars_zhava
Доменная политика не влияет на локальные учетные записи - это раз. Она влияет лишь на входящих в ДОМЕН пользователей. Если Вы воспользуетесь GPMC, то заметите, что сначала применяется локальная политика, затем OU, затем доменная. Для домен-контроллеров последней применяется Default domain controller policy, и, соответственно, если нет галки Enforced, то доменная политика перекрывает локальную. Т.к. на домен-контроллерах локальных пользователей нет, то в отношении паролей применяется доменная политика. |
|
------- Отправлено: 09:25, 31-03-2006 | #3 |
|
Новый участник Сообщения: 8
|
Профиль | Отправить PM | Цитировать "Доменная политика не влияет на локальные учетные записи" - получается, что определив параметр "Минимальная длина пароля" = 6-ти в политике Defaut Domain Policy, я не получу эту настройку на клиентском ПК-члене домена? Здесь мне кажется monkkey не прав!
Что касается контрллеров домена, в том то и вопрос: как расценивать политику Default Domain Controller Policy: как локальную (для DC) или как политику OU |
|
Отправлено: 09:37, 31-03-2006 | #4 |
|
Googler Сообщения: 3665
|
Профиль | Отправить PM | Цитировать Цитата:
Цитата:
|
|||
|
Отправлено: 09:45, 31-03-2006 | #5 |
|
Новый участник Сообщения: 8
|
Профиль | Отправить PM | Цитировать А можно ссылку на документ, откуда взята фраза: "A domain controller always obtains the account policy from the Default Domain Policy GPO, even if there is a different account policy applied to the OU that contains the domain controller."?
+ тогда все становится на свои места, и пример с переопределеним параметров из Account Policy был не самй лучший + получается, что действиетельно длина паролей в домене не зависимо от места хранения уч. записей (локально на машине или в домене) действительно д.б. одна и разделить ее нельзя! |
|
Отправлено: 12:05, 31-03-2006 | #6 |
|
Ветеран Сообщения: 4904
|
Профиль | Сайт | Отправить PM | Цитировать ars_zhava
1 Войдите в оснастку управления компьютером и посмотрите, какие локальные учетные записи существуют на компьютере. (Не путайте только доменных пользователей, локально работающих, и локальных) |
|
------- Последний раз редактировалось monkkey, 31-03-2006 в 14:49. Отправлено: 12:23, 31-03-2006 | #7 |
Ветеран Сообщения: 688
|
Профиль | Отправить PM | Цитировать статья на сайте
Консоль управления групповой политикой для Windows Server 2003 |
|
------- Отправлено: 15:25, 31-03-2006 | #8 |
|
Новый участник Сообщения: 8
|
Профиль | Отправить PM | Цитировать Всем огромное спасибо, всё понятно
|
|
Отправлено: 08:08, 03-04-2006 | #9 |
Старожил Сообщения: 360
|
Профиль | Отправить PM | Цитировать Подскажите пожалуйста как влияет на применение групповых политик опция Enforced для объекта групповой политики и опция Block Inheritance для организационной единицы?
|
|
Отправлено: 08:11, 13-05-2008 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Интернет - Ноутбук в домене Windows 2003 | DeMoN-ELF | Microsoft Windows 2000/XP | 3 | 22-08-2009 22:42 | |
| 2008 - Изменение политик учетных записей в 2008 домене | setup | Windows Server 2008/2008 R2 | 2 | 11-03-2008 08:25 | |
| Применение старых политик в домене | sam_ea | Microsoft Windows NT/2000/2003 | 2 | 31-10-2007 14:45 | |
| Групповые политики- порядок применения и наследование | shefford | Microsoft Windows NT/2000/2003 | 6 | 31-05-2007 17:03 | |
| Построение иерархической структуры для применения групповых политик | philippov | Microsoft Windows NT/2000/2003 | 4 | 10-12-2006 12:47 | |
|
|
Время: 20:45. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
