Como alterar o limite de bloqueio de conta quando o caminho não pode ser encontrado

1

Estou tentando alterar o limite de bloqueio de conta para todos os usuários em nosso domínio. O limite deve ser três, mas há usuários que são bloqueados após uma senha incorreta e outros que podem tentar seis ou sete vezes antes de serem bloqueados.

Temos o Windows Server 2008 R2 e todos os usuários estão em um único domínio. No Gerenciamento de Diretiva de Grupo, tentei seguir o caminho da Diretiva de Grupo do [GPO] \ Configuração do Computador \ Configurações do Windows \ Configurações de Segurança \ Diretivas de Conta \ Diretiva de Senha, mas nenhum dos meus GPOs (existentes ou criados recentemente) tem uma configuração de diretivas de conta em Configurações de segurança. Eu expandi todos os caminhos diferentes procurando por isso, e não tive sorte. Eu também tentei fazer isso no Gerenciador de Servidores com o mesmo resultado.

Eu tentei o MMC.exe, e os GPOs criados nele têm o caminho correto, mas os GPOs criados aqui parecem estar associados apenas a computadores, não ao domínio como um todo. Eu configurei um no Computador Local (o servidor) e ele pareceu afetar alguns usuários, mas não outros.

Eu suspeito que uma possível causa (ou contribuinte) para o problema pode ser um arquivo SYSVOL ausente para um GPO de bloqueio de conta. Este é um GPO que existia antes de eu começar a trabalhar aqui e foi desativado por alguém tentando corrigir os problemas de bloqueio. Não tenho certeza de quando, por que ou por quem o arquivo SYSVOL foi excluído / movido. Como o arquivo SYSVOL está ausente, simplesmente recebo um erro informando que o computador não pode encontrar o caminho especificado e posso não ter permissões quando tento visualizar esse GPO.

Eu tenho pesquisado on-line o que fazer nesta situação, mas ainda não encontrei nada de útil. Eu apreciaria qualquer solução ou conselho, pois sou relativamente novo nisso e estou perdendo as idéias rapidamente.

    
por G.Tanaka 04.05.2015 / 18:47

1 resposta

1

Isso pode ser devido a um problema com seu FGPP padrão.
Leia este artigo .
Você pode ver o que o FGPP aplica a um usuário específico, verificando seu msDS-ResultantPSO.
Você poderia usar o Powershell assim:

Get-ADUser -LDAPFilter '(&(objectCategory=person)(objectClass=user)(SamAccountName=JohnG))' -Properties msDS-ResultantPSO

Você pode corrigir isso adicionando o usuário (ou um grupo ao qual o usuário pertence) ao PSO relevante (demonstrado pelo artigo vinculado acima).

Além disso, aplicar o GPO local geralmente não é uma boa ideia.
Você deve ter uma política aplicada específica em seus CDs.

    
por 05.05.2015 / 09:35