Comments 7
technet.microsoft.com/en-us/library/hh994566(v=ws.10).aspx
Собственно суть в том, что ваш ad1 является PDC эмулятором (operations master), которому пересылаются все запросы на аутентификацию, которые были с неверными паролями (или другими ошибками аутентификации из-за состояния аккаунта). И уже PDC принимает решение о том, как и когда лочить учетную запись.
Собственно суть в том, что ваш ad1 является PDC эмулятором (operations master), которому пересылаются все запросы на аутентификацию, которые были с неверными паролями (или другими ошибками аутентификации из-за состояния аккаунта). И уже PDC принимает решение о том, как и когда лочить учетную запись.
Собственно суть в том, что ваш ad1 является PDC эмулятором (operations master)
Верное наблюдение.
И уже PDC принимает решение о том, как и когда лочить учетную запись.
А вот тут как-то не сходится… по приведённой вами ссылке нет ни слова о том кто именно блокирует учётную запись согласно политики.
Если предположить, что всё так как вы описываете, получится, что при отсутствии связи с PDC пользователь никогда не будет заблокирован и подбирать пароль можно до победного конца! Но ведь это не так.
Более того — если блокировкой согласно политики занимается PDC то зачем на каждом контроллере для каждого пользователя хранится свой не реплицируемый счётчик не успешных попыток входа?
То что первый контроллер — PDC в данной ситуации играет не последнюю роль — но эта роль совершенной иная.
Посмотреть политику можно командой net accounts /domain на любом DC
Не видна политика в RsoP по задумке Microsoft.
На эту тему есть KB support.microsoft.com/kb/927908
Не видна политика в RsoP по задумке Microsoft.
На эту тему есть KB support.microsoft.com/kb/927908
Ну вот, пока обедал исправили саму статью. Грусть.
Sign up to leave a comment.
Куда делась политика блокировки пользователей?