Работая недавно у крупного клиента по внедрению SCOM/SCCM, столкнулся на практике с одной плохо документированной особенностью Active Directory, а именно настройкой парольных политик в домене.
Проблема
Для начала приведу описание проблемы клиента, у которого более десяти тысяч рабочих мест, количество серверов переваливает за восемьсот. Итак, в домене срабатывает блокировка учетных записей при вводе пяти неправильных паролей. Отключить ее не удается никакими средствами на протяжении уже довольно долгого времени. Пользователи постоянно нервничают, менеджеры немного в напрягах от такого расклада.
В один прекрасный день ведущий специалист отрывает меня от увлекательного занятия настройки пакетов управления для SCOM вопросом, не могу ли я посмотреть, что за елы-палы происходят у них в домене с этими самыми блокировками. Нужно сказать, что преподавание курсов Microsoft заставило меня изучить вышеозначенную проблему в деталях, и позволило мне блеснуть как нельзя лучше. Результатом, кстати, стало немедленное продление моего контракта ;-)
Давайте теперь рассмотрим конфигурацию домена заказчика. Домен Windows Server 2003. Для простоты я оставлю только имеющие к нам отношение Group Policy:
- встроенная политика Default Domain Policy привязана к домену;
- встроенная политика Default Domain Controllers Policy привязана к контейнеру Domain Controllers.
Пока все стандартно.
Дальше начинается немного нестандартная конфигурация: контейнер Domain Controllers настроен на блокировку наследования Group Policy. Видимо, чтобы компенсировать блокировку, политика Default Domain Policy привязана также и к контейнеру Domain Controllers. Политика Default Domain Controllers Policy имеет более высокий приоритет, чем политика Default Domain Policy для контейнера Domain Controllers.
Теперь значения блокировок паролей:
- Default Domain Policy: блокировка отсутствует;
- Default Domain Controllers Policy: блокировка после пяти неудачных логонов.
Ну и теперь вопрос к специалистам: какая же в итоге политика блокировок применяется к доменным учетным записям?
Ответ первый, навскидку (оказывающийся неправильным):
Действует Default Domain Controllers Policy с блокировкой после пяти неверных логонов: она же привязана к контейнеру с учетными записями контроллеров домена, да еще и стоит выше в списке.
Ответ второй, после некоторого раздумья (и тоже неверный!):
Действует Default Domain Policy c отсутствием блокировок.
Ответ третий, парадоксальный (и верный!):
Не действует ни одна доменная политика!
Вот тут уже становится интересно. Особенно, если учесть, что контроллеров домена у заказчика десять и блокировка учетных записей срабатывает после пяти неудачных логонов, несмотря на практически любые (!!) манипуляции с любыми локальными и доменными Group Policy. Чудеса? Не-а, на самом деле будете дико удивлены, что такое поведение, оказывается, by design!
Теория
Тезис 1. Где в домене хранятся настройки блокировок паролей пользователей?
Оказывается, что параметры парольных политик и политик блокировок учетных записей есть ни что иное, как атрибуты самого объекта "домен". Открыв в консоли ADSI Editor или Active Directory Users and Computers свойства домена, мы можем найти эти самые атрибуты. Ни у каких других объектов в домене Windows Server 2003 подобных атрибутов больше нет (тут немного за скобками полезно будет вспомнить мою прежнюю статью про Fine Grained Password Policies, в ней эти атрибуты, а также и новые возможности Windows Server 2008 рассмотрены более детально). Окно свойств домена приведено ниже.
Теперь более-менее понятно: чтобы изменить блокировки учетных записей в домене мы должны изменить эти атрибуты. Из данного вывода вытекает
Тезис 2. А кто же, собственно, может менять эти атрибуты?
Ответ тут совсем неочевидный. Опустив различные предположения, отвечу сразу: только один-единственный компьютер в домене, а именно контроллер домена, являющийся мастером операций PDC Emulator. Никакие другие контроллеры домена и тем более серверы доменные атрибуты парольных политик и блокировок учетных записей изменить не могут.
Тезис 3. Откуда PDC Emulator берет значения, чтобы прописать их в качестве атрибутов контейнера "домен"?
Либо из доменной политики, либо из локальной политики. Но тут у Group Policy начинается самое интересное и слабодокументированное поведение. Оказывается, что PDC Emulator берет значения атрибутов настроек пароля и блокировок ТОЛЬКО из Group Policy Objects (GPO), прилинкованных на УРОВНЕ ДОМЕНА. Любые GPO, прилинкованные ниже, попросту игнорируются (точнее две их части под названием Account Policies и Security Options).
Немного поразмыслив, можно согласиться, что такой алгоритм единственный, который гарантирует корректное и прогнозируемое применение парольных политик в домене, когда контроллеров доменов множество, находятся они в разных контейнерах домена, да еще когда к разным контроллерам домена могут применяться различные GPO.
Практика
Возвращаемся теперь к заказчику и начинаем повторный анализ настроек с высот нового знания :-)
1. Оба GPO, привязанные к контейнеру Domain Controllers, благополучно игнорируются в части политик пароля и блокировок (см. Тезис 3 выше).
2. Политика Default Domain Policy примениться не может, ибо на контейнере Domain Controllers стоит блокировка наследования политик.
3. Все контроллеры домена, кроме одного единственного, в локальных политиках имеют абсолютно чистые настройки этих самых политик (Not defined).
4. PDC Emulator – единственный контроллер домена, который имеет в локальных политиках настроенное значение блокировок учетных записей. А поскольку групповые политики в части настроек пароля и блокировок на него не действуют, он благополучно настраивает весь домен по своим локальным политикам.
В итоге я просто-напросто сбросил локальную политику на PDC Emulator, и все мгновенно заработало как и хотелось заказчику: никаких больше блокировок. Вопрос корректности настроек групповых политик в целом мы оставили на потом. В общем, обладая определенными знаниями, у меня на все ушло 5 минут; заказчик потратил на поиск проблемы времени вагон, так и не решив ее.
Выводы
Проанализируйте настройки Group Policy в своем собственном домене. Помните, что изменить политики паролей и блокировок учетных записей в домене может только PDC Emulator. При этом к PDC Emulator могут применяться исключительно Group Policy, прилинкованные к самому домену; все нижестоящие Group Policy будут игнорироваться. Если Group Policy не применяются или не определены, PDC Emulator будет прописывать в домене значения своих локальных политик.
Обратите также внимание на статью KB259576: Group Policy application rules for domain controllers.В ней дается дополнительная информация, как применяются рассмотренные нами политики на контроллерах домена.
Действительно интересная ситуация. Но не пойму одного-кому нужен был такой геморрой с политиками?Если нужно было отменить наследование на уровне контроллеров домена,но сохранить Default Domain Policy, не легче было просто поставить одну галочку "не перекрывать" на уровне домена???
ОтветитьУдалитьДумается месные админы сразу до этого додумались, но ведь и правда интересно было разобраться почему же когда не действует ни одна политика, все же чем-то регламентируется настройка блокировки.
ОтветитьУдалитьАлексей, низкий поклон! Учтем в работе :)
Сегодня столкнулся с это траблой!
ОтветитьУдалитьКак вариант выключил блокирование OU DC. Хочу применять low security password policy на весь домен. Теперь вопрос:
С учетом этого:
The following settings are applied to Windows Server 2003-based domain controllers only when the group policy is linked to the domain container. (The settings are located in Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options.)
Accounts: Administrator account status
Accounts: Guest account status
Accounts: Rename administrator account
Accounts: Rename guest account
Network security: Force logoff when logon hours expire
Можно понимать что, все отличное применяться к DC не будет?
VarangaOfficial - варанга купить - все, что нужно знать об этом препарате. Воспользовавшись данным интернет-порталом, вы сможете узнать обстоятельную информацию касающуюся представленного средства. Лично увидеть данные о клиническом тестировании геля, прочитать отзывы реальных покупателей и медицинского персонала. Изучить инструкцию по применению, прочесть об особенностях и методах работы мази, понять, почему крем Варанга настолько эффективен, где можно заказать сертифицированный, оригинальный препарат и, как избежать покупки подделки. Мы очень тщательно и скурпулезно проверяем публикуемые данные. Предоставляем посетителям нашего онлайн-ресурса сведения, почерпнутые исключительно из авторитетных источников. Если вы обнаружили у себя признаки грибкового поражения стоп или уже довольно продолжительное время, без ощутимых результатов пытаетесь избавиться от этого неприятного коварного недуга, наш сайт покажет вам легкий и быстрый способ устранения проблемы. Присоединяетесь и живите здоровой полноценной жизнью. Теперь все ответы можно отыскать на одном сайте.
ОтветитьУдалитьВ бонгакамсе есть киски, которые не всегда занимают центральное положение. Девушки одиноки, и эти отдыхающие обожают внимание настоящего парня. Бесстрастный разговор также способен смягчить одиночество, порно чат девушка и парень И онлайн-любовь не за горами. Создайте свой 100% бесплатный аккаунт. 100 моделей в настоящее время доступны для веб-камер с живым сексом - секс с живыми камерами. Присоединяйтесь к крупнейшему мировому сообществу веб-камер! Бесплатный секс-чат bongacams ждет вас в режиме 7-24 - заходите немедленно и смотрите онлайн голых женщин с их шоу перед веб-камерами. Чат bongacams с парами представляет беспрецедентные игры для наших клиентов. Пары чувственных лесбиянок во всеоружии и склонны раскрывать свои наклонности друг к другу в прокате нашего чата пар бонгакамс. Семейный секс-чат в интернете нажмите здесь для получения более подробной информации! Популярный видеочат с женатыми парами онлайн. Бонгакамс, все это не просто частные записи с пк, это далеко не крипто-виртуальное знакомство с теми парами, которые против организации сексуальной игры для вашего внимания. Они хотят пойти туда, если кто-то любит их и взволнован их действиями. Две сумасшедшие пары ник крис, кэт и зак из бонгакамса, могут реализовать любое интимное желание онлайн. Многие люди специально ходят на бонгакамы только на них. Чаевые достигают 1000 жетонов - это разные вещи. Мы рекомендуем это сделать. Пары бонгакамс - видеочат ru частные записи бонгакамс было бы неплохо посвятить наш адрес веб-сайту бонгакамс. Который является русскоязычной версией ru бонгакамс, на котором можно найти порно записи частных вечеринок обычных пар и одиночек. Некоторые из заветных эротических девушек ждут вас перед веб-камерами в интернет-секс-чате bongacams смотрите порно видео пар в интернете бесплатно, общайтесь с их участием, запрашивайте интересующий вас вариант в порно виртуальном чате с парами на предлагаемой вкладке.
ОтветитьУдалитьЛюбые банки отказывают в получении средств, когда клиент не соответствует требованиям к водонепроницаемости. На акцию выйдут мфо, которые на приемлемых условиях без задержек выдают новые долгосрочные кредиты в столице. Московские мфо разрешат вам покупать новые экспресс-кредиты в 2021 году. Кредит выдается наличными на карту и с виртуальных счетов. - Процентная ставка - до первых% в день; - Возможна аренда до ста тысяч рублей (серьезные суммы выдаются, если сертификатов много); - Срок погашения - до 12 месяцев; - Возраст заемщика - старше восемнадцати лет. В оптимальные сроки займы мфо выдаются по одному паспорту каждому. Новые онлайн-кредиты на банковскую карту в столице действительно можно получить у нас на веб-ресурсе. Сначала вам нужно воспользоваться специальным калькулятором. Если у жертвы возникнут неясности относительно того, как подать заявку Рейтинг МФО, Вы сможете позвонить нам по этому адресу.
ОтветитьУдалитьДаже одной и той же секунды не хватит, чтобы пройти весь зверинец, количество удовольствий, туры на ольхон Я дам совет всем! По крайней мере, я провел в зверинце почти один день. Лейпцигский зверинец, несомненно, считается 3-й программой по продолжительности производства зоопарка в европейском союзе. В настоящее время лейпцигский зверинец считается самым серьезным из самых популярных памятных мест в бельгии и франции - его посещают от двух до трех миллионов пользователей каждый год. Лейпцигский зверинец - первое из самых популярных памятных мест столицы. Двадцать пять градусов по цельсию. Но, принимая во внимание, что байкал является первым из самых / самых востребованных солнечных населенных пунктов в российской федерации, каждый сможет подключить оборудование для солнечных ванн, а затем поплавать в бассейне, сочетая расслабляющий телесный отдых с посещением многих развлекательных мероприятий в случае этнических развлечений. Озеро байкал входит в список Для людей, которые приезжают в загородный парк на своих автомобилях, предусмотрено место на охраняемой стоянке рядом с ошейниками. Я обязательно вернусь в нынешний замечательный загородный парк. Сегодня это самая большая тропическая оранжерея на суше европейской части, в которой собрана огромная коллекция трав и диких животных. Четыре. На куршской косе нет туристического сообщения. К сожалению, при воспоминании об этих и других существующих туристических поездках в такие алтайские города у большинства граждан очень часто возникают необоснованные штампы, которые мгновенно возвращают желание заинтересоваться времяпрепровождением на куршской косе.
ОтветитьУдалитьПечать на самоклеющемся защитном слое стала повседневной составляющей успешных бесконтактных учреждений. Форматная печать на самоклеящейся бумаге - это красочная инновационная рекламная компания, которую можно найти на полках супермаркетов в транспорте или аппаратах. В каждом случае, для того чтобы реклама получилась запоминающейся, а также интересной, в наклейках используется внешняя печать. Это самый простой из наиболее оперативных, конкурентоспособный в течение длительного времени, в случае надежной реализации рекламных объявлений, которые можно приобрести по самым объективным ценам при повседневной печати. Мы сделаем отличную, если это будет эффективно, рекламу на мировом уровне также на период, программы самой бюджетной стоимости в городе. Наши цены намного демократичнее, чем у других, благодаря тому, что наша компания использует славянский тип, честную или перфорированную виниловую броню от производителя. С помощью предлагаемых производителями промо-акций вы не рискуете заблудиться в потоке транспортных средств, также рекламирующих зоны, поскольку квалифицированные специалисты напечатают рекламу на всех видах самоклеящихся пленок всех размеров. Форматная печать в глянце - это богатая находка для тех, кто нуждается в оперативном или краткосрочном продвижении во время одноразового отпуска. Типография "буки веди" использует современную высококачественную бумагу и фотобумагу для создания рекламной информации. Наш печать на баннере В фотобумаге - это аналогичный надежный и также надежный вариант для плакатов, постеров и баннеров программ самой низкой стоимости от ста рублей. На квадратный метр. Для команды цена отпечатков в формах, а также некоторых других публикациях будет учитывать множество тонкостей, например, дополнительную лицензию на рисование изображений, тип бумаги, рисунок, какой объем, срочность труда, а также дополнительные интерфейсы, датчики и т.Д..
ОтветитьУдалить