10. november 2004 - 10:06Der er
7 kommentarer og 1 løsning
Password policy i AD
Mit problem er som følger Jeg har oprettet to password polices, en lav og høj sikkerheds policy. Uden at aktivere dem nogen steder. alle ting under password Windows Settings -> Security Settings -> Account Policies -> Password Policy er defineret. og User Configuration er disabled. For at være sikker på at Den Default Domain policy ikke skal spille mig et puds, har jeg fjernet alt under samme punkt så det ikke er defineret. Her efter har jeg linket min høj sikkerheds password policy på en OU hvor strukturen er: OUnavn + Computers + Servers i roden af min OU ligger brugerne, og de to andre giver vidst sig selv... Policyen er tilføjet på OUnavn Jeg bruger GPOMC, og med den har jeg kørt en Group Policy Results wizard, hvor jeg udpeger min egen maskinen og min bruger. (både min maskine og jeg er i overnævnte OU) og den giver der rigtige resultat, altså at password skal være komplekst og minimum 6 tegn osv. MEN i praksis virker det ikke. Jeg er kørt en gpupdate /force på min server og Workstation, og genstartet et utal af gange. trods det kan jeg ændre mit password til 1234 hvis jeg har lyst, den kommer dog med fejl hvis det ikke er længere end 4 tegn, men 1234 er ikke vildt komplekst :)
Du skal være opmærksom på at policies omkring Passwords som udgangspunkt er Domain Wide policies - dvs. de lægger sig til det samlede domæne og kan derfor ikke lægges til et enkelt OU. - Det var så teorien.
I praksis er verden en anden. Når du nu kører med GPOMC så kan du også tildele rettigheder - derfor skal du gøre det at du laver en scurity gruppe (OUret), som indeholder medlemmer af din OU (OUnavn). Hernæst går du ind i delegation for din policy, og sætter OUret til at deny apply af den "svage" sikkerhed, og sætter ligeledes grant apply til din "stærke" sikkerhed.
Derved skulle du meget gerne opnå det ønskede resultat.. Det kan være du lige skal afvente en repplikering af policies, der kan gå op til 15 minutter, afhængig af dine policies i din Domain Group Policies..
Når jeg går ind i deligation i GPOMC, kan jeg kun vælge at de grupper jeg har lavet kan Read, Edit Settings, Delete, Modify Security hvis jeg højre klikker på dem
Burde det ikke være nok hvis domain users har ret til at apply dem?
men sætter jeg bare på de brugere der skulel have brugt den lave sikkerheds politik at deres password ikke udløber... så går det nok...
TPO: kan du ikke smide et svar, det var jo faktisk dig der kom med løsningen :)
tak for hjælpen!!
-Max
Synes godt om
Slettet bruger
12. november 2004 - 18:02#8
I spørgsmålet stod der blandt andet "Jeg bruger GPOMC". Den kunne jeg ikke finde, "GPMC" kender jeg ganske udmærket. :-)
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
