Myxo Skrevet 4. juni 2005 Del Skrevet 4. juni 2005 Har en 2003-server der jeg blant annet skal konfigurere passordpolicies. Er usikker på hvor jeg gjør dette, men har vært inne på "Domain Controller Security Policy" og satt opp noen enkle regler for bruk av passord, men får ikke disse til å fungere på min '98-klient. Er det noe spesielt jeg må gjøre for å aktivere disse policiene? Eller har jeg konfigurert dem på helt feil plass? Satt blant annet på en regel som kun tillot tre forsøk på passord før kontoen blir stengt, men det skjer ikke. Noen veit helt sikkert hva jeg må gjøre, så jeg takker på forhånd. (flere spørsmål følger) Lenke til kommentar
dirr Skrevet 5. juni 2005 Del Skrevet 5. juni 2005 Passord polices må settes i Default Domain Policy (ikke Default Domain Controller Policy). Lenke til kommentar
Myxo Skrevet 5. juni 2005 Forfatter Del Skrevet 5. juni 2005 Passord polices må settes i Default Domain Policy (ikke Default Domain Controller Policy). Hva er forskjellen på de to? Er det noe mer jeg må gjøre for å få aktivert dem? Lenke til kommentar
kamus Skrevet 5. juni 2005 Del Skrevet 5. juni 2005 Her kan du se litt om hva de brukes til. Lenke til kommentar
Kenny Bones Skrevet 7. juni 2005 Del Skrevet 7. juni 2005 Jeg vil anbefale å installere "group policy management" Det er en oppdatert og mer funksjonabel editor for policier og der kan du lage mange policier og knytte dem opp mot enkelte grupper og/eller brukere. Dessuten har du en myye bedre oversikt over policiene på den måten! Lenke til kommentar
slettet Skrevet 7. juni 2005 Del Skrevet 7. juni 2005 Jepp. Søk etter "gpmc.msi" på microsoft.com, så finn du den. Fin-fint verkty for å lage/endre policier.. Lenke til kommentar
Myxo Skrevet 8. juni 2005 Forfatter Del Skrevet 8. juni 2005 Jepp.Søk etter "gpmc.msi" på microsoft.com, så finn du den. Fin-fint verkty for å lage/endre policier.. Krever dette lisens? Lenke til kommentar
MasterBlaster Skrevet 14. juni 2005 Del Skrevet 14. juni 2005 Det er en vesentlig ting dere glemmer her folkens - Win9x skjønner ikke group policy - samme hvor mye du prøver. For å få dette til så må en klient installeres på alle Win9x maskiner. Denne finnes her sammen med en beskrivelse av hva klienten gjør og hvorfor du behøver den Lenke til kommentar
slettet Skrevet 14. juni 2005 Del Skrevet 14. juni 2005 (endret) eg har aldri prøvd policies på noko eldre enn 2000. er det ein grei grunn for ikkje å vite det? Endret 14. juni 2005 av nmedaas Lenke til kommentar
MasterBlaster Skrevet 14. juni 2005 Del Skrevet 14. juni 2005 Yepp - den er godkjent . Det fantes policy for Win9x og NT også, men de var/er på langt nær så avanserte som Group Policy (GPO) som benyttes på W2K/XP/W2K3. Lenke til kommentar
roac Skrevet 15. juni 2005 Del Skrevet 15. juni 2005 Det er en vesentlig ting dere glemmer her folkens - Win9x skjønner ikke group policy - samme hvor mye du prøver. For å få dette til så må en klient installeres på alle Win9x maskiner. Denne finnes her sammen med en beskrivelse av hva klienten gjør og hvorfor du behøver den I et domene-miljø er det vel faktisk Domenekontrolleren, eller i tilfelle Windows 9x klient: PDC Emulator, som foretar denne sjekken, og DEN er klar over group policies. Når det er sagt kan det likevel være nyttig å bruke denne klient-programvaren. Lenke til kommentar
MasterBlaster Skrevet 15. juni 2005 Del Skrevet 15. juni 2005 I et domene-miljø er det vel faktisk Domenekontrolleren, eller i tilfelle Windows 9x klient: PDC Emulator, som foretar denne sjekken, og DEN er klar over group policies. Når det er sagt kan det likevel være nyttig å bruke denne klient-programvaren. Jeg vet ikke helt hva du tenker på her roac, men PDC emulatoren håndterer logon requester fra såkalte low-level klienter (Win9x) - det er riktig. I dette tilfellet er det snakk om en passord policy som skal pushes ut til alle klienter via GPO. Det nytter ikke å prøve å pushe ut en GPO til en Win9x klienten siden den ikke skjønner hva du snakker om - uten hjelp av DS klienten. Hvis du følger linken i en tidlgere post så skjønner du hva jeg snakker om Lenke til kommentar
roac Skrevet 15. juni 2005 Del Skrevet 15. juni 2005 I et domene-miljø er det vel faktisk Domenekontrolleren, eller i tilfelle Windows 9x klient: PDC Emulator, som foretar denne sjekken, og DEN er klar over group policies. Når det er sagt kan det likevel være nyttig å bruke denne klient-programvaren. Jeg vet ikke helt hva du tenker på her roac, men PDC emulatoren håndterer logon requester fra såkalte low-level klienter (Win9x) - det er riktig. I dette tilfellet er det snakk om en passord policy som skal pushes ut til alle klienter via GPO. Det nytter ikke å prøve å pushe ut en GPO til en Win9x klienten siden den ikke skjønner hva du snakker om - uten hjelp av DS klienten. Hvis du følger linken i en tidlgere post så skjønner du hva jeg snakker om Som sagt, denne passordpolicyen (jeg har vel allerede sagt at det dreier seg om domene-kontoer her), håndteres som sagt av domenekontrolerene og ikke klientene selv. I tilfellet 9x klienter, gjøres dette på PDC emulatoren. Hvis du skal ha enda mer informasjon, som gir en liten pekepinn om at dette stemmer, så er det filen passfilt.dll som evt sjekker kompleksiteten på passord. APIet til denne filen er kjent, så det er fullt mulig å lage sin egen implementasjon av denne: Password Filters Installing and Registering a Password Filter DLL Fra sistnenvnte: You can use the password filter to filter domain or local account passwords. To use the password filter for domain accounts, install and register the DLL on each domain controller in the domain. Mao, dette går på Domenekontroller, og ikke klient. Det ville vært helt håpløst om en passordpolicy skulle tvinges gjennom ved at en klient ble bedt om å gjøre dette. Dette hadde gitt store muligeter for å forbigå denne sjekken ved å modifisere filer på lokal disk. Ved at denne policyen sjekkes på domenekontrollerene, må man være Domain Administrator (eller på andre måter ha administrative rettigheter) i domenet. Lokale passord sjekkes selvfølgelig av klienten, og vil ikke kunne styres ved hjelp av GPO for Windows 9x klienter. Håper dette var oppklarende. Lenke til kommentar
Myxo Skrevet 16. juni 2005 Forfatter Del Skrevet 16. juni 2005 Prøver å sette noen policyer som gjør at kontoen blir stengt etter x antall forsøk, men uansett hva jeg gjør så vil det ikke fungere. Har vært inne og satt disse: - Account Lockout Policies o Account Lockout duration: 60 minutes o Account lockout threshold: 3 invalid logon attempts o Reset account lockout counter after: 10 minutes ...men de funker ikke! Noe annet jeg må gjøre for å igang disse? Lenke til kommentar
Kenny Bones Skrevet 16. juni 2005 Del Skrevet 16. juni 2005 Pass på at policyen er linket til rett gruppe/bruker. Husk også at default policy står øverst, så det er mulig den overstyrer den andre policyen. Prøv å sette den nye policyen til "enforced" og prøv igjen. Lenke til kommentar
Myxo Skrevet 16. juni 2005 Forfatter Del Skrevet 16. juni 2005 Pass på at policyen er linket til rett gruppe/bruker. Husk også at default policy står øverst, så det er mulig den overstyrer den andre policyen.Prøv å sette den nye policyen til "enforced" og prøv igjen. Tok en restart av server og da fungerte det som fjell. Fint for meg. Lenke til kommentar
Kenny Bones Skrevet 16. juni 2005 Del Skrevet 16. juni 2005 Hmm, sikker på at serveren din er helt stabil?? Det skal da vel ikke være nødvendig å restarte serveren vel? Kanskje policyene ikke ble oppdatert? Prøv isåfall å skrive "gpupdate /force" på kjør om noe lignende skjer igjen. Kanskje det var problemet. Lenke til kommentar
Myxo Skrevet 16. juni 2005 Forfatter Del Skrevet 16. juni 2005 Hmm, sikker på at serveren din er helt stabil?? Det skal da vel ikke være nødvendig å restarte serveren vel? Kanskje policyene ikke ble oppdatert? Prøv isåfall å skrive "gpupdate /force" på kjør om noe lignende skjer igjen. Kanskje det var problemet. Serveren min virker fin nok Akkurat nå fungerer alt som skal fungere, etter hva jeg kan se. Bare rapportskriving igjen nå så skal jeg være ferdig. Lenke til kommentar
roac Skrevet 16. juni 2005 Del Skrevet 16. juni 2005 Pass på at policyen er linket til rett gruppe/bruker. Husk også at default policy står øverst, så det er mulig den overstyrer den andre policyen.Prøv å sette den nye policyen til "enforced" og prøv igjen. Password policies settes på domene for domenekontoer, og på OU for å kontrollere passord til lokale brukere til på de PCene som befinner seg i OUet. En passordpolicy på et OU har ingen innvirkning på brukerene i det aktuelle og underliggende OU. Enforced bør av administrative hensyn (oversikt) ikke benyttes såfremt det ikke finnes en annen akseptabel løsning. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå