- Вопрос или проблема
- Ответ или решение
- 1. Понимание объектов групповой политики (GPO) и их иерархии
- 2. Финансовая политика паролей (Fine-Grained Password Policy)
- 3. Блокировка наследования (Block Inheritance)
- 4. Проверка существующих политик с помощью PowerShell
- 5. Совершенствование политики безопасности
- Заключение
Вопрос или проблема
У нас возникла странная проблема с AD. Мы изменили политику паролей следующим образом:
Принуждать запомнить историю паролей 5 паролей
Максимальный срок действия пароля
120 дней Минимальный срок действия пароля 1 день
Минимальная длина пароля 8 символов
Эта политика действует с начала января этого года. Тем не менее, наши пользователи по-прежнему должны менять свои пароли каждые 42 дня. Я понимаю, что политика вступает в силу только после изменения вашего пароля. Наши пользователи изменили свои пароли несколько раз с момента изменения.
На сервере, когда я выполняю net accounts, я вижу следующее:
Принудительный выход пользователя через какой срок после истечения времени?: Никогда
Минимальный срок действия пароля (дни): 1
Максимальный срок действия пароля (дни): 120
Минимальная длина пароля: 8
Длина сохраняемой истории паролей: 5
Порог блокировки: 15
Продолжительность блокировки (минуты): 5
Окно наблюдения блокировки (минуты): 5
Роль компьютера: ОСНОВНОЙ
Отлично! 120 дней для максимального пароля! Теперь я проверяю конкретного пользователя с помощью net user
Имя пользователя Удалено
Полное имя Удалено
Комментарий
Комментарий пользователя
Код страны/региона 000 (По умолчанию системы)
Аккаунт активен Да
Аккаунт истекает Никогда
Пароль был установлен последний раз 5/5/2015 14:54:35
Срок действия пароля 9/2/2015 14:54:35
Пароль можно изменить 5/6/2015 14:54:35
Пароль требуется Да
Пользователь может изменить пароль Да
Разрешенные рабочие станции Все
Сценарий входа
Профиль пользователя
Домашний каталог
Последний выход 4/9/2015 16:13:10
Часы входа разрешены Все
Хорошо, прекрасно! 9/2 – это 120 дней после 5/5! Тем не менее, это типично. До того как этот пользователь изменил свой пароль 5/5, он показывал дату за пределами 5/5 (когда его пароль на самом деле истек).
Сегодня я нашел новый для меня способ проверить срок действия пароля пользователя. Так что я проверяю этого же пользователя с помощью инструмента, который использует Get-ADUserResultantPasswordPolicy для определения MaxPasswordAge (я смог подтвердить, что он идет по пути $accountFGPP -ne $null, запустив вручную Get-ADUserResultantPasswordPolicy. Функция выдает следующее:
Пароль учетной записи: SameUserAsBefore истекает: 06/16/2015 14:54:35
Подождите, что? net user сказал, что пароль не истекает до 9/2! Когда я запустил Get-ADUserResultantPasswordPolicy для этого пользователя, я нашел корень проблемы:
PS C:\Windows\system32> Get-ADUserResultantPasswordPolicy (Get-ADUser SameUserAsBefore -properties PasswordExpired, PasswordNeverExpires, PasswordLastSet)
Применяется к : {CN=Domain Users,CN=Users,DC=УДАЛЕНО,DC=LOCAL}
Проверка сложности : Ложь
DistinguishedName : CN=Default-#####,CN=Password Settings Container,CN=System,DC=Удалено,DC=LOCAL
LockoutDuration : 00:30:00
LockoutObservationWindow : 00:30:00
LockoutThreshold : 10
MaxPasswordAge : 42.00:00:00
MinPasswordAge : 1.00:00:00
MinPasswordLength : 7
Имя : Default-#####
ObjectClass : msDS-PasswordSettings
ObjectGUID : GUIDУбрано
PasswordHistoryCount : 3
Precedence : 1
ReversibleEncryptionEnabled : Ложь
И вот я, пораженный, почему это 42 дня, несмотря на Групповую политику, которую я установил, которая принудительно применяется на уровне домена. Она настроена на применение к аутентифицированным пользователям. Я попытался удалить это и создать заново, на случай если политика каким-то образом могла испортиться.
У кого-нибудь есть идея, почему групповая политика на самом деле не применяется?
Эта проблема наконец решена! Мне открылся совершенно новый мир Windows Server.
От Mec Beau и отредактировано Excellll:
Создание GPO на OU не сработает для того, что вы пытаетесь сделать. GPO, относящиеся к политикам паролей, могут быть установлены только на уровне домена. Тем не менее, для применения политики к подмножеству пользователей домена вам необходимо использовать детализированные политики паролей.
Их можно применять на уровне групп, поэтому вам нужно убедиться, что все пользователи, на которых вы хотите воздействовать этой новой политикой, являются членами соответствующей группы.
Чтобы сделать это в домене Windows 2012, выполните следующие действия с DC.
- На начальном экране введите DSAC.EXE для запуска Центра администрирования служб каталогов.
- Перейдите в контейнер System\Password Settings
- Щелкните правой кнопкой мыши и выберите Новый или используйте Новый в меню Задачи.
- Выберите Настройки пароля
- Создайте новую политику пароля либо для пользователя, либо для группы.
- Установите ее приоритет на случай, если у вас создано несколько политик, чем ниже число, тем выше приоритет.
Дальше это довольно просто.
Я столкнулся с этой проблемой, и причина заключалась в том, что на уровне OU Domain Controller был заблокированна наследование.
Если там есть блокировка наследования, настройки пароля не будут применяться.
Вы можете проверить это, чтобы прочитать полную статью от Microsoft.
Ответ или решение
Проблема применения объектов групповой политики: максимальный срок действия пароля не вступает в силу
Ваша ситуация с изменением политики паролей в Active Directory (AD) действительно представляется запутанной. Используя предоставленную информацию, давайте глубже проанализируем потенциальные причины, по которым настройка максимального срока действия пароля (120 дней) не применяется к пользователям.
1. Понимание объектов групповой политики (GPO) и их иерархии
Первым делом важно понять, что политика паролей в AD может быть настроена на различных уровнях иерархии. Политики, относящиеся к паролям, могут быть установлены только на уровне домена, а не на уровне организационных единиц (OU). Если у вас есть несколько GPO, важно учитывать их приоритет и возможность наложения.
2. Финансовая политика паролей (Fine-Grained Password Policy)
Если вашей организацией используется политика паролей, CID, на уровень домена, необходимо убедиться, что вы не применяете финансовую политику паролей к пользователям, которые должны следовать другим условиям (например, 42-дневному сроку). Финансовая политика паролей позволяет создавать различные правила для разных групп пользователей, которые могут пересекаться с ваших текущим GPO.
Для создания и применения финансовой политики паролей:
- Откройте средство администрирования Active Directory (DSAC).
- Перейдите к "Контейнер настроек паролей" в "System".
- Создайте новую настройку паролей и определите группу пользователей или конкретного пользователя, которому будет применена эта политика.
- Настройте приоритет (precedence) политики в случае, если у вас уже несколько политик, так как более низкое значение означает более высокий приоритет.
3. Блокировка наследования (Block Inheritance)
Если у вас установлен флаг блокировки наследования на уровне OU, это может повлиять на применение GPO для всей структуры AD. Эта настройка может помешать внедрению политики паролей домена. Обязательно проверьте настройки OU и убедитесь, что блокировка наследования не активна.
4. Проверка существующих политик с помощью PowerShell
Используйте команды PowerShell для диагностики текущих настроек. С помощью команды Get-ADUserResultantPasswordPolicy вы можете выявить, какие конкретные политики действуют на вашего пользователя. Это позволит вам понять, применяется ли ваша политика GPO или же присутствует политика более высокого приоритета.
5. Совершенствование политики безопасности
Обязательно проследите, чтобы эта политика была актуализирована и действовала в соответствии с вашими потребностями:
- Подтвердите, что в вашей пользовательской базе данных нет устаревших запрещений.
- Удостоверьтесь, что при изменении пароля пользователи действительно выполняют процедуру обновления через интерфейс, принимающий новые правила.
Заключение
Для восстановления нормального функционирования системы паролей в вашем Active Directory необходимо сочетание корректных настроек GPO на уровне домена и, при необходимости, использования финансовой политики паролей. Проверка наследования и тщательная диагностика с помощью PowerShell помогут выявить и устранить любые несоответствия. Надеюсь, эти шаги помогут вам решить проблему и обеспечить безопасность ваших пользователей.