Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2016/2019/2022 (http://forum.oszone.net/forumdisplay.php?f=119)
-   -   Не удается включить запрет изменения паролей в домене (http://forum.oszone.net/showthread.php?t=350797)

Ivlex 03-03-2022 14:48 2981065
Не удается включить запрет изменения паролей в домене
 
Доброго времени суток, уважаемые форумчане!

Есть домен Active Directory, который был создан на Windows Server 2008 R2, а через какое-то время мигрирован на Windows Server 2016. Для этого домен были добавлены 2 новых контроллера, однму из них были переданы роли FSMO, после чего контроллер под управалением 2008 R2 был понижен до рядового сервера и выведен из домена. Функциональный уровень домена и леса был повышен до 2016.
Проблема заключается в том, что сейчас я не могу запретить пользователям, которые были заведены до миграции, менять свои пароли: через некоторое время после включения опции "Запретить смену пароля пользователем" она оказывается выключена. Происходит это примерно в течение получаса. У учеток пользователей, созданных после миграции, такой проблемы не наблюдается.

Прошу помочь с решением.

Anton04 05-03-2022 16:25 2981155
Цитата:
Цитата Ivlex
Происходит это примерно в течение получаса. »
Ну, а в GPO какие параметры на этот счёт стоят?

P.S. Вероятней всего у Вас есть GPO где указана обратная опция, разрешающая смену пароля.

Ivlex 14-03-2022 09:58 2981646
Anton04, я даже не представляю, какие параметры политик могут влиять на такое поведение. И, главное, эти учетные записи находятся находятся в одном OU, и к ним применяются одинаковые политики. Фильтров WMI в домене нет. Членство в группах тоже одинаковое: Domain Users.

dahiko 14-03-2022 21:14 2981675
Вот, что приходит в голову:

1. В планировщике заданий есть скрипт, который снимает этот атрибут, или это делается кем-то вручную. Навряд ли конечно кто-то это сделал, но это возможно. Проверьте события изменения учетных записей после отключения этой опции. Под каким пользователем это делается? Если под какой-то не системной учеткой, то наверняка это делается руками или скриптом.
2. Репликация некорректно работает. Если у вас в итоге осталось несколько DC, то пробовали ли вы включать эту опцию на другом контроллере?

Anton04 18-03-2022 13:01 2981902
Цитата:
Цитата Ivlex
я даже не представляю, какие параметры политик могут влиять на такое поведение. »
Как это не представляете!? Ну GPO вы же создаёте и редактируете? Или Вам необходимо указать полный путь к политике назначения паролей в GPO?

Для диагностики существует моделирование GPO (встроенный инструмент), на худой конец, последовательно отключайте политики пока не найдёте ту политику после отключения которой не будут происходить ненужные Вам действия (банальный метод перебора).

P.S. Ещё как вариант пересоздайте эти УЗ и проверьте.


Время: 23:47.

Время: 23:47.
© OSzone.net 2001-