Задать вопрос

Пароли учеток в AD

Вводная следующая:
Домен. Первым домен-контроллером поднялся 2008R2 и весело зашуршал. Далее в помощь и подстраховку к нему поднялся 2012 сервер и стал реплицировать политики и пользователей с первого контроллера успешно.
dcdiag на обоих ДК не выдает никаких ошибок. В логах тоже ошибок не наблюдается.
На первом ДК поправлены требования к паролям — Хранить 0 паролей, минимальная длина пароля 3 символа, спецсимволы отключены, минимальный-максимальные сроки отключены, шифрование отключено.
Завести пользователя из оснастки или скриптом я могу с паролем любой сложности.
При попытке пользователя сменить пароль с машины мы получаем ошибку, что пароль не удовлетворяет требованиям, установленным в домене.
Менял требования в политике Default Domain Policy в разделе Безопасность-учетные записи-Пароли (точно не вспомню сейчас, но место то самое.)
Есть подозрение, что пользователи не могут сменить свой пароль, если их авторизовывал ( %logonserver% ) второй ДК.
В какую сторону можно копать?..
  • Вопрос задан
  • 9207 просмотров
Подписаться 4 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
Проверить доменную политику, для начала. Может 2012 сервер не в курсе этой политики? К примеру политика домена установлена на какой-то OU, а домен контроллер лежит где-то еще.

В оснастке GPM — Group Policy Management кликните правой клавишей на домен — там смените домен контроллер и посмотрите… может таки не все реплицируется? :)
Ответ написан
amc
@amc
В сторону RSoP.
Проверьте какие политики паролей стоят в Default Domain Controllers Policy.
Ответ написан
Ingtar
@Ingtar Автор вопроса
Выставил все параметры в DDP у паролей в «Не задано» и удалось сменить пароль. Ура!
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы