Políticas de grupo diferentes em um domínio

Navegue suas respostas
2

Estou usando o powershell para exibir a expiração da senha de uma conta antes de redefini-la no trabalho. Mas o GP global, pelo que vejo, é de 180 dias, e há alguns funcionários que têm 90 dias definidos em sua conta. Onde essas outras políticas são definidas para que eu possa ver o que elas têm?

Eu pesquiso msDS-UserPasswordExpiryTimeComputed no powershell.

EDITAR: Eu corri gpresult /h c:\temp\gpresult.html e só encontrei os seguintes resultados 

Account Policies/Password Policyhide
Policy Setting Winning GPO 
Enforce password history 24 passwords remembered Default Domain Policy 
Maximum password age 180 days Default Domain Policy 
Minimum password age 0 days Default Domain Policy 
Minimum password length 6 characters Default Domain Policy 
Password must meet complexity requirements Disabled Default Domain Policy 
Store passwords using reversible encryption Disabled Default Domain Policy
    
por Aaron 06.02.2015 / 14:57

3 respostas

4

É possível que existam GPOs secundários em implementações mais específicas (por exemplo, aplicando-se apenas a um grupo específico de computadores) que tenham requisitos mais restritos de redefinição de senha.

Eu recomendaria executar gpresult de uma execução de shell com privilégios administrativos na (s) máquina (s) afetada (s), para verificar quais GPOs foram processados.

De uma linha de comando local para a máquina: gpresult /h c:\temp\gpresult.html e, em seguida, inspecione o arquivo resultante gpresult.html em um navegador.

O que você está procurando é a política que "ganhou" para definir a política de senha; faça uma busca por 'password policy' e 'Maximum password age' nessa página, para encontrar a política relevante e verifique o 'GPO vencedor' no lado direito da página correspondente ao conjunto de valores que substituiu o globally- política aplicável que você anotou em sua pergunta.

    
por 06.02.2015 / 15:04
1

Apenas um GPO pode definir políticas de senha para o domínio e deve estar vinculado ao domínio. Se você tiver vários GPOs que definem a diretiva de senha vinculada ao domínio, o GPO com a precedência mais alta (ordem de enlace mais baixa) é o GPO vencedor e é aquele que está definindo a diretiva de senha para o domínio. As políticas de senha nos GPOs vinculados às UOs não serão aplicadas. Meu palpite é que você tem políticas de senha refinadas em vigor. Se esse for o caso, você deverá ver os FGPPs que foram criados em System|Password Settings Container em Usuários e Computadores do Active Directory (você precisa estar exibindo Recursos Avançados para ver isso).

    
por 06.02.2015 / 17:46
0

A partir de uma máquina com os módulos Powershell e AD GPO da Powershell, você pode executar o seguinte para encontrar todos os GPOs com configurações de senha: 

PS C:\temp\gpo> get-gpo -all | foreach { get-gporeport -name $_.displayname -reporttype xml -path ("c:\temp\gpo\" + $_.displayname + ".xml") }
PS C:\temp\gpo> gci *.xml | foreach {$_.name; gc $_.name | select-string "password[al]" -context 1 }

O que produzirá uma saída como essa, permitindo que você veja quais GPOs têm configurações de senha. 

somePolicy1.xml
somePolicy2.xml
somePolicy3.xml
Default Domain Policy.xml
          <q1:Account>
>           <q1:Name>MaximumPasswordAge</q1:Name>
            <q1:SettingNumber>30</q1:SettingNumber>
          <q1:Account>
>           <q1:Name>MinimumPasswordAge</q1:Name>
            <q1:SettingNumber>0</q1:SettingNumber>
          <q1:Account>
>           <q1:Name>MinimumPasswordLength</q1:Name>
            <q1:SettingNumber>6</q1:SettingNumber>
somePolicy4.xml
somePolicy5.xml
somePolicy6.xml
    
por 06.02.2015 / 17:26

Tags

Dig Command no servidor específico fornece resultados diferentes dos que são consultados sem especificar um NS ProLiant ML310e GEN 8