Пароли учеток в AD

Question

[Ingtar]

Вводная следующая:
Домен. Первым домен-контроллером поднялся 2008R2 и весело зашуршал. Далее в помощь и подстраховку к нему поднялся 2012 сервер и стал реплицировать политики и пользователей с первого контроллера успешно.
dcdiag на обоих ДК не выдает никаких ошибок. В логах тоже ошибок не наблюдается.
На первом ДК поправлены требования к паролям — Хранить 0 паролей, минимальная длина пароля 3 символа, спецсимволы отключены, минимальный-максимальные сроки отключены, шифрование отключено.
Завести пользователя из оснастки или скриптом я могу с паролем любой сложности.
При попытке пользователя сменить пароль с машины мы получаем ошибку, что пароль не удовлетворяет требованиям, установленным в домене.
Менял требования в политике Default Domain Policy в разделе Безопасность-учетные записи-Пароли (точно не вспомню сейчас, но место то самое.)
Есть подозрение, что пользователи не могут сменить свой пароль, если их авторизовывал ( %logonserver% ) второй ДК.
В какую сторону можно копать?..

Answer 1

[Роман]

Проверить доменную политику, для начала. Может 2012 сервер не в курсе этой политики? К примеру политика домена установлена на какой-то OU, а домен контроллер лежит где-то еще.

В оснастке GPM — Group Policy Management кликните правой клавишей на домен — там смените домен контроллер и посмотрите… может таки не все реплицируется? :)

Comments

[Ingtar]

сменил, проверил — политика есть.

[Роман]

Можно проверить путем отключения второго ДК :)
Также — может пользователю по умолчанию запрещено менять пароль? Проверьте пользователя.
Можно еще попробовать — зайти в ADUC — сменить контроллер домена — выбрать 2012 — найти пользователя и сбросить ему пароль. Если будет ругаться — значит где-то грабли в 2012. Если нет — значит грабли в другом месте :)

[Ingtar]

Попробывал — меняет на любый пароли, которые ввожу. Значит «Your princess in another castle»

[Ingtar]

Отключил второй ДК. Пароли так же не дает менять. Значит где-то политика.

[Роман]

А юзера проверили? В его свойствах не запрещено менять пароль и прочее?

[Ingtar]

Первым делом) Но тогда бы он ругался не на несоответствие пароля требованиям, а просто на то, что нельзя сменить.

Answer 2

[amc]

В сторону RSoP.
Проверьте какие политики паролей стоят в Default Domain Controllers Policy.

Comments

[Ingtar]

Разве политика Default Domain Controllers Policy не применяется к контроллерам, как к станциям? А требования к домену лежат в Default Domain Policy?

[Николай Турнавиотов]

Ingtar — ПО умолчанию в домене идёт политики на контроллеры домена и на сам домен. И естественно, политики на домен-контролеры применяются только на OU, в котором находятся DC.
А политика паролей, насколько я помню, всегда описывалась в общей доменной политике в самой верхушке иерархии и распространялась на весь домен. Кстати сколько видел — все администраторы обе эти политики как раз трогать не советуют, лучше создать отдельную политику в OU, где будут жить все пользователи домена, и изменить настройки уровня сложности и длины паролей в ней.

[Ingtar]

В этой политике только пароли и изменены.
Все остальное идет на OUшки всякие.

[amc]

Если требования к паролям определены и в DDP и в DDCP, то будут действовать те, которые определены в DDCP, так как она будет иметь более высокий приоритет.
В gpmc.msc сделайте моделирование и результаты ГП для КД, сможете хоть точно понять какие именно политики и от какой у вас действуют.

Answer 3

[Ingtar]

Выставил все параметры в DDP у паролей в «Не задано» и удалось сменить пароль. Ура!