В какой-то момент администратор решает убедиться, что политика блокировки пользователей работает на всех контроллерах домена.
rsop.msc запускается на контроллере домена и выдает администратору ожидаемую картину: 
А вот на втором сервере администратора ждет легкий шок: 
Стоит сразу отметить, что все серверы расположены в «ou=Domain Controllers» и подчиняются одинаковым политикам.
ОС контроллера: 2008 R2. Предлагаю сделать это маленькой пятничной загадкой.
Первая мысль, что политика как-то не применилась, тут же отбрасывается выдачей сводных данных по команде
набор применяемых политик одинаков для всех контроллеров.gpresult /R
Что действительно подрывает моральный дух, так это то, что команда: gpresult /Z /S ad2
ничего не упоминается о разделе «Политика блокировки учетной записи».
При этом для первого контроллера gpresult /Z /S ad1
отображает раздел «Политика блокировки учетной записи» со всеми параметрами.
Проверьте свои контроллеры — результаты могут вас удивить.
Самое интересное, что политика работает! При неудачной попытке авторизоваться через второй контроллер указанное количество раз (например, с помощью LDAP-привязки) пользователь блокируется.
Приглашаю сообщество поделиться в комментариях своими версиями причин происходящего, а также предложениями по методам проверки работоспособности политики блокировки пользователей.
В любом случае, обязуюсь опубликовать ответ на этот вопрос к вечеру.
УПД.
Судя по количеству предположений в комментариях и голосованию за этот пост, тема не интересна и организовать дискуссию с "вытаскиванием" нюансов работы АД не получится.
Жаль, может я бы для себя что-то новое открыла.
Раз уж обещал, то опубликую ответ
Есть документ КБ927908 где описывается, что на контроллерах домена под управлением 2003 сервера RSoP не отображает установленные значения некоторых политик, а именно: Политики в разделе «Конфигурация компьютера/Параметры Windows/Параметры безопасности/Политики учетных записей/Политика паролей»:- Принудительно использовать историю паролей
- Максимальный срок действия пароля
- Минимальный срок действия пароля
- Минимальная длина пароля
- Пароль должен соответствовать требованиям по сложности
- Храните пароль с помощью обратимого шифрования для всех пользователей домена.
- Продолжительность блокировки аккаунта
- Порог блокировки учетной записи
- Сбросить счетчик блокировки учетной записи после
- Сетевая безопасность: принудительный выход из системы по истечении времени входа в систему.
net accounts /domain
Особенности применения политик на ДЦ
Что касается особенностей политики блокировки пользователей, то также стоит ознакомиться с документом КБ259576 говоря, что некоторые настройки на контроллерах домена применяются только из политик, привязанных к корню домена.И политика блокировки пользователей включена в этот список.
Какова особая роль эмулятора PDC в обеспечении соблюдения политик блокировки пользователей?
Прежде всего тем, как реализована политика — по сути, при определении критериев блокировки пользователя ДЦ берет параметры из атрибутов доменного объекта.
Итак, при применении политики эти значения в атрибутах задаются контроллером с ролью эмулятора PDC.
Вы можете прочитать об этом интересный детектив .
Возможно, поэтому RSoP не отображает эту политику на других контроллерах — она им не нужна — у них есть параметры в каталоге.
Теги: #Системное администрирование #active каталог #Active Directory #gpo
-
Новая Серия Ip-Телефонов Grandstream Gxp1700
19 Oct, 24
