В один прекрасный момент администратор решает убедиться, что политика блокировки пользователей работает на всех контроллерах домена. На контроллере домена запускается rsop.msc и выдаёт администратору ожидаемую картину:
Но на втором сервере администратора подстерегает лёгкий шок:
Стоит сразу отметить, что все сервера находятся в «ou=Domain Controllers» и на них распространяются одинаковые политики. ОС контроллеров: 2008 R2.
Предлагаю сделать из этого маленькую пятничную загадку.
Первая мысль, о том, что каким-то образом не применилась политика, сразу отметается выдачей сводных данных по команде
Окончательно подрывает мораль то, что команда:
перечисляет раздел «Политика блокировки учётной записи» со всеми параметрами.
Проверьте свои контроллеры — быть может Вы удивитесь результату.
Самое интересное, что политика работает! Если попытаться заданное количество раз осуществить не успешный вход через второй контроллер (например с помощью LDAP bind), то пользователь блокируется.
Предлагаю сообществу в комментариях изложить свои версии причин происходящего, а также предложения по методике проверки работоспособности политики блокировки пользователя.
Я же обязуюсь к вечеру в любом случае выложить ответ на этот вопрос.
UPD. Судя по количеству предположений в комментариях и по голосованию за этот пост — тема не интересна и устроить обсуждение с «вытягиванием» нюансов работы AD не удастся. Жаль, быть может и я бы для себя что-нибудь новое открыл.
Существует документ KB927908 в котором описывается, что на контроллерах домена под управлением 2003-го сервера RSoP не отображает установленных значений части политик, а именно:
Политики в разделе Computer Configuration/Windows Settings/Security Settings/Account Policies/Password Policy:
Политики в разделе Computer Configuration/Windows Settings/Security Settings/Account Policies/Account Lockout Policy:
Политика в разделе Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options:
на практике я наблюдал описанную проблему и на 2008-м и на 2008 R2 серверах.
Там же указано, что для просмотра действующей политике на контролерах домена без роли эмулятора PDC можно использовать утилиту командной строки:
По-поводу особенностей политики блокировки пользователей стоит также прочесть документ KB259576 повествующий, что часть настроек на контроллерах домена применяется только из политик, привязанных к корню домена. И политика блокировки пользователей входит в этот список.
В первую очередь в том как реализована политика — фактически при определении критериев блокировки пользователя DC берёт параметры из атрибутов объекта домена.
Так вот при применении политики эти значения в атрибутах устанавливает контроллер с ролью эмулятора PDC.
Про это можно почитать интересный детектив.
Быть может поэтому RSoP не отображает эту политику на остальных контроллерах — она им не нужна — у них есть параметры в каталоге.
Но на втором сервере администратора подстерегает лёгкий шок:
Стоит сразу отметить, что все сервера находятся в «ou=Domain Controllers» и на них распространяются одинаковые политики. ОС контроллеров: 2008 R2.
Предлагаю сделать из этого маленькую пятничную загадку.
Первая мысль, о том, что каким-то образом не применилась политика, сразу отметается выдачей сводных данных по команде
gpresult /R
Окончательно подрывает мораль то, что команда:
gpresult /Z /S ad2
gpresult /Z /S ad1
перечисляет раздел «Политика блокировки учётной записи» со всеми параметрами.
Проверьте свои контроллеры — быть может Вы удивитесь результату.
Самое интересное, что политика работает! Если попытаться заданное количество раз осуществить не успешный вход через второй контроллер (например с помощью LDAP bind), то пользователь блокируется.
Предлагаю сообществу в комментариях изложить свои версии причин происходящего, а также предложения по методике проверки работоспособности политики блокировки пользователя.
Я же обязуюсь к вечеру в любом случае выложить ответ на этот вопрос.
UPD. Судя по количеству предположений в комментариях и по голосованию за этот пост — тема не интересна и устроить обсуждение с «вытягиванием» нюансов работы AD не удастся. Жаль, быть может и я бы для себя что-нибудь новое открыл.
Раз уж обещал выложу ответ
Существует документ KB927908 в котором описывается, что на контроллерах домена под управлением 2003-го сервера RSoP не отображает установленных значений части политик, а именно:
Политики в разделе Computer Configuration/Windows Settings/Security Settings/Account Policies/Password Policy:
- Enforce password history
- Maximum password age
- Minimum password age
- Minimum password length
- Password must meet complexity requirements
- Store password using reversible encryption for all users in the domain
Политики в разделе Computer Configuration/Windows Settings/Security Settings/Account Policies/Account Lockout Policy:
- Account lockout duration
- Account lockout threshold
- Reset account lockout counter after
Политика в разделе Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options:
- Network Security: Force logoff when logon hours expire
на практике я наблюдал описанную проблему и на 2008-м и на 2008 R2 серверах.
Там же указано, что для просмотра действующей политике на контролерах домена без роли эмулятора PDC можно использовать утилиту командной строки:
net accounts /domain
Особенности применения политик на DC
По-поводу особенностей политики блокировки пользователей стоит также прочесть документ KB259576 повествующий, что часть настроек на контроллерах домена применяется только из политик, привязанных к корню домена. И политика блокировки пользователей входит в этот список.
В чём особая роль PDC эмулятора в применении политик блокировки пользователей?
В первую очередь в том как реализована политика — фактически при определении критериев блокировки пользователя DC берёт параметры из атрибутов объекта домена.
Так вот при применении политики эти значения в атрибутах устанавливает контроллер с ролью эмулятора PDC.
Про это можно почитать интересный детектив.
Быть может поэтому RSoP не отображает эту политику на остальных контроллерах — она им не нужна — у них есть параметры в каталоге.
