Просмотр темы - Win2000 GPO rsop.msc

[RUS Профиль ICQ]

Возможно ответ на форуме получу раньше чем решу сам
Вопрос в следующем:
создается дополнитеоьная GPO в одном из контейнеров домена, делается блокировка наследования политик домена в контейнере, в шаблоне настраиваются политики для пользователя и комьютера, назначается группа в контейнере на которую политика распростроняется, эта же группа указывается в дефолтовой политике и прописывается запрет на чтение и применение дефолтовой политики. перемещается комп в контейнер, включается в группу, группа прописывается как примари, (из других групп комп выкидвается DomainComputers) относительно которой распростроняется дополнетельный GPO. В результате залогинившись на компе и запустив утилиту rsop.msc, убедился в том что результирующая политика пролеплецировалась так как надо, НО НО НО политика паролей прописанная в GPO один черт не срабатывает, подскажите чего сделать можно хорошего чтоб все было в шоколаде???

p.s. созданная политика направленна на ужесточения требований

[slz Профиль]

Политика учетных записей (Account Policies), куда входят: password policies, account lockout policies, and Kerberos authentication protocol policies, дейстуют на весь домен (применяется только ко всему домену) и может быть только одна.
http://www.microsoft.com/technet/securi ... ch02n.mspx
Если политика учетных записей привязывается к OU, то действовать она будет, только на локальные учетные записи созданные на серверах входящих в домен.
В Windows Server 2008 появился функционал, позволяющий применять Account Policies к пользователям и группам.

[RUS Профиль ICQ]

спасибо большое, но я читал что если дефолтовая политика не определенна то можно создавать разные политики требований к паролям в организационных еденицах, говорилось про 2003 у меня 2000, есть у кого такой опыт???

[PavelKHTW Профиль]

[slz Профиль]

RUS

[RUS Профиль ICQ]

не определена значит переменные не забиты в шаблоне имеют значения "Not defined"

где читал а чтоб я помнил о_0

в настоящий момент проблемма решена почти
как я и писал в сообщении от 30.07.2007 в 14:14 все замечательно работает, ошибка была в том что я ч/з Novell Client пытался изменить записи в базе LDAP Microsofta(что без настройки On_Line синхронизации является бредом как в прочем и On_Line синхронизация), если делать изменения ч/з Microsoft_овые остнастки то политика корректно отрабатывается

в настоящий момент осталось сдEЛать подобные политики и в Novel Server, тут придется немного попариться, ч/з интерфейсы управления я не нашел с ходу вошебной галочки за счет которой можно тупо включить требования к сложности пароля надеюсь, что до уровня перловых скриптов не придется опускаться 0_о

спасио за поддержку, если есть опыт по настроики политик в Novel Server кинте ссыки где прочитать

[PavelKHTW Профиль]

так - оказывается вам нужно было ужесточить парольную защиту на уровне аккаунтов создаваемых на рабочих станциях, а не в домене AD???


А теперь причем тут Novell с его OES или Netware - что у вас там???

[slz Профиль]

RUS

[RUS Профиль ICQ]

Уважаемый slz
ни с одним Вашем утверждением спорить смыла, не имеет т.к. они верны если только за бутылочкой пива , согласен с тем что данный топик может ввести начинающего в заблуждение, чтоб исключить это скажу следующие что
контроллер домена является " таким же компьютером как и все остальные" следовательно может иметь одну политику относительно КОНФИГУРАЦИИ КОМПЬЮТЕРА результирующей будет с наивысшимм приоритетом, наивысший приоритет изначально имеет Default Domain Policy, т.е. те параметры КОНФИГУРАЦИИ КОМПЬЮТЕРА от GPO Default Domain Policy в шаблоне безопастности Default Domain Policy.domainname.local и будут определять параментры паролей пользователей т.к. пользователи Ломена заводятся на КОМПЬЮТЕРЕ контроллере домена.
в месаге от 31.07.2007 - 10:02 есть не точность миль пардон месьЁ

С баянами на удафф. Модератор.

[PavelKHTW Профиль]