Показать полную графическую версию : [решено] Не работает политика паролей.
goldsmith
27-07-2011, 14:25
Всем привет!
Ситуация такая: есть домен на 2008 R2 standart, с помощью консоли групповой политики, на один из контейнеров задал новую групповую политику которой задал: Максимальный и минимальный срок действия пароля, минимальную длину пароля именно для этого контейнера, поставил её принудительно но она почему то не работает, где капать подскажите? как сделать что бы она работала?
dmitryst
27-07-2011, 14:35
поставил её принудительно но она почему то не работает »
откуда наследуется? Может, вышестоящая настройка перекрывает вашу.
посмотрите через rsop.mcs что именно действует.
Telepuzik
27-07-2011, 16:19
именно для этого контейнера »
Если вы хотите применить политику паролей только к одному контейнеру тогда необходимо использовать Fine Grained Password Policy (http://blogs.technet.com/b/kabans/archive/2009/09/12/fine-grained-password-policy.aspx).
Еще в тему: ссылка (http://amaksimov.wordpress.com/2011/01/17/ad-ds-windows-server-2008-gpo-create-password-settings-objects-psos/)
Ivan Bardeen
27-07-2011, 18:57
Ситуация такая: есть домен на 2008 R2 standart, с помощью консоли групповой политики, на один из контейнеров задал новую групповую политику которой задал: Максимальный и минимальный срок действия пароля, минимальную длину пароля именно для этого контейнера, поставил её принудительно но она почему то не работает, где капать подскажите? как сделать что бы она работала? »
Вообще-то она работает, но так как вы распространили ее на OU - то она работает для учетных записей, созданных локально на компьютерах внутри этого OU (меняли то настройки политики в разделе computer configuration, так чего ждать-то, что политика применится к пользователям)
У вас будет ожидаемый результат, если вы поменяете настройки в политике DDP или DDCP или, как сказали выше использовав Fine Grained Password Policy при режиме работы домена не ниже WS 2008.
goldsmith
29-07-2011, 19:39
Ребят я разобрался причина бональна, оказытся стояла галка "Срок действия пароля учетной записи не ограничен".
у всех по убирал эту галку и все заработало.
Всем спасибо, статьи очень интересны сохранил для себя.
goldsmith
05-09-2012, 14:11
Решили Настроить централизованно одну общую политику паролей, на весь домен.
поетому взяли дефолную политику и там пока для теста выстовили так:
http://s019.radikal.ru/i620/1209/e2/f54d7730f499.jpg
больше ни каких кроме дефолтной политики нет. так что ни кто ничего не перекрывает.
и решили проверить получится ли сменить пароль, при смени встречает такое сообщение: "Не удается обновить пароль. Введенный пароль не обеспечивает требованиям домена к длине пароля, его сложности и истории обновления"
gpupdate /force на машине НЕ помогает.
подскажите в чем загвоздка где копать??
WindowsNT
05-09-2012, 14:13
"Не определено" означает "оставить, как было". Если раньше было сказано "вести историю 5 последних паролей", то настройка "не определено" просто сохраняет текущее положение вещей, а не переопределяет его.
Более того, положение "не определено" позволяет локальной политике взять верх. А что в ней?
goldsmith
05-09-2012, 14:26
т.е. Локальна на домене прекрывает дефолтную по паролям если значение не определено стоит???
выглядит так:
http://s56.radikal.ru/i154/1209/d0/f0e302def9b5.jpg
"Не определено" означает "оставить, как было". Если раньше было сказано "вести историю 5 последних паролей", то настройка "не определено" просто сохраняет текущее положение вещей, а не переопределяет его. »
Отчего так?
т.е. Локальна на домене прекрывает дефолтную по паролям если значение не определено стоит??? »
Локальная на машине не перекрывает доменную, когда доменная есть. У Вас доменная не определена. Потому используется только локальная. О чём и было сказано выше.
goldsmith
05-09-2012, 14:39
Цитата goldsmith:
т.е. Локальна на домене прекрывает дефолтную по паролям если значение не определено стоит??? »
Локальная на машине не перекрывает доменную, когда доменная есть. У Вас доменная не определена. Потому используется только локальная. О чём и было сказано выше. »
ЛОКАЛЬНАЯ на конкретной машине получается???
и что означает параметр
"Связь включена"
и
"Принудительный"
???
и что означает параметр "Связь включена" и "Принудительный" ??? »
Думаю, Вам лучше знать ;):
поставил её принудительно »
goldsmith
05-09-2012, 15:09
просто разницы не вижу. что принудительно что без... не работает ни так ни так.
У Вас доменная не определена. Потому используется только локальная. О чём и было сказано выше. »
выставил значения:
http://s42.radikal.ru/i096/1209/21/4bde66e6d4b1.jpg
выдает тоже сообщение.... что не возможно обновить.
Telepuzik
05-09-2012, 22:55
goldsmith,
Покажите скрин политики где показано к каким объектам применяется политика и фильтр безопасности для данной политике покажите.
goldsmith
06-09-2012, 07:26
http://s019.radikal.ru/i644/1209/2b/ff3daa659d88.jpg
Политика, Файрвол в ней отключен брэндмауэр больше нет никаких настроек.
Telepuzik
06-09-2012, 09:17
goldsmith,
К OU Domain Controllers какие политики применяются?
goldsmith
06-09-2012, 09:48
Telepuzik,
http://s018.radikal.ru/i514/1209/37/3000a06ec50d.jpg
http://s019.radikal.ru/i628/1209/26/a241273e9d28.jpg
goldsmith, скажите, пожалуйста — какова цель вашей политики? Беспарольный вход по всему домену?
goldsmith
06-09-2012, 10:14
snark,
нет, цель наоборот сделать политику для всего домена.
длина минимум 6
срок действия месяц.
что бы напоминал о смене пароля. и т.д.
я в плане эксперимента это сделал.
просто какой то сыр бор с паролями с этими кто может менять кто не может, кто то может поставить пароль, кто то сложный.
вроде всего две политики и все. но она не работает и то.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC