O GPO do Active Directory para diretiva de senha não está sendo aplicado da diretiva de domínio padrão

Navegue suas respostas
2

Ok. Eu implementei uma Política de Senha. Eu sei de postagens anteriores que não podem ser aplicadas a partir de uma unidade organizacional, por isso a configurei a partir da diretiva de domínio padrão. Eu corro RSOP.msc de uma máquina cliente e as configurações de política são exibidas com a "Diretiva de Domínio Padrão" do Source GPO. Então parece que está funcionando, mas não está. Por exemplo, eu tenho um requisito de complexidade, mas ele aceita a senha "a". Ele também permite que eu mude minha senha dentro da Segurança do Windows enquanto a configuração é "Idade mínima da senha" de 89 dias. Claramente, a política não está realmente sendo aplicada!

O que fazer? 

RSOP results for XXXX\XXXX on XXXXX-XXXXX: Logging Mode
----------------------------------------------------------

OS Type:                     Microsoft Windows XP Professional
OS Configuration:            Member Workstation
OS Version:                  5.1.2600
Domain Name:                 XXXXXX
Domain Type:                 Windows 2000
Site Name:                   XXXXXX
Roaming Profile:
Local Profile:               C:\Documents and Settings\XXXXX
Connected over a slow link?: No


COMPUTER SETTINGS
------------------

    CN=XXXXXXXXX,OU=UserComputers,DC=corp,DC=XXXXX,DC=com
    Last time Group Policy was applied: 10/14/2011 at 3:58:40 PM
    Group Policy was applied from:      tfs.corp.emergingmed.com
    Group Policy slow link threshold:   0 kbps

    Applied Group Policy Objects
    -----------------------------
        Published Software
        Copy of Base
        Default Domain Policy

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups:
    --------------------------------------------------------
        BUILTIN\Administrators
        Everyone
        SQLServerMSSQLServerADHelperUser$XXXXX
        BUILTIN\Users
        NT AUTHORITY\NETWORK
        NT AUTHORITY\Authenticated Users
        XXXXXXX$
        Domain Computers
        People


USER SETTINGS
--------------
    CN=XXXXXX,OU=Employees,DC=corp,DC=XXXX,DC=com
    Last time Group Policy was applied: 10/14/2011 at 3:58:40 PM
    Group Policy was applied from:      tfs.corp.XXXXX.com
    Group Policy slow link threshold:   0 kbps

    Applied Group Policy Objects
    -----------------------------
        Published Software
        Startup Scripts
        Copy of Base
        Default Domain Policy

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The user is a part of the following security groups:
    ----------------------------------------------------
        Domain Users
        Everyone
        BUILTIN\Administrators
        Remote Desktop Users
        BUILTIN\Users
        NT AUTHORITY\INTERACTIVE
        NT AUTHORITY\Authenticated Users
        LOCAL
    
por tacos_tacos_tacos 14.10.2011 / 21:50

1 resposta

6

A política de senha deve ser aplicada à UO dos servidores onde o banco de dados da conta está. Se você estiver tentando controlar a senha no diretório ativo, isso significa que sua política deve ser aplicada à UO de controladores de domínio. Se você tiver herança bloqueada na UO de Controladores de Domínio, a modificação da política de Domínio Padrão, que está vinculada na raiz por padrão, não fará o que você deseja.

Ao definir a política no nível de domínio padrão, provavelmente você está controlando a política de senha da sua estação de trabalho. Com isso, quero dizer que as contas locais nas suas estações de trabalho teriam agora os requisitos de senha. Tente criar uma conta local e definir uma senha.

Isso está relacionado, em parte, à mesma razão pela qual você não pode ter mais de uma diretiva de senha em um domínio anterior ao Windows 2008. A política deve ser aplicada a todos os controladores de domínio, portanto, não há como diferenciar usuários / computadores diferentes.

Mesmo com as políticas refinadas em 2008, você não pode basta usar uma política de grupo, você tem que configurar atributos especiais no LDAP para que diferentes objetos tenham como alvo diferentes políticas de senha.

    
por 14.10.2011 / 22:38

Tags

Falha no disco rígido - Os setores não utilizados podem estar bem? Renomeia todos os arquivos