...

пятница, 19 июля 2013 г.

Куда делась политика блокировки пользователей?

В один прекрасный момент администратор решает убедиться, что политика блокировки пользователей работает на всех контроллерах домена. На контроллере домена запускается rsop.msc и выдаёт администратору ожидаемую картину:



Но на втором сервере администратора подстерегает лёгкий шок:



Стоит сразу отметить, что все сервера находятся в «ou=Domain Controllers» и на них распространяются одинаковые политики. ОС контроллеров: 2008 R2.

Предлагаю сделать из этого маленькую пятничную загадку.


Первая мысль, о том, что каким-то образом не применилась политика, сразу отметается выдачей сводных данных по команде



gpresult /R


набор применённых политик для всех контроллеров одинаковый.

Окончательно подрывает мораль то, что команда:



gpresult /Z /S ad2


ничего не упоминает о разделе «Политика блокировки учётной записи». В то же время для первого контроллера

gpresult /Z /S ad1




перечисляет раздел «Политика блокировки учётной записи» со всеми параметрами.

Проверьте свои контроллеры — быть может Вы удивитесь результату.

Самое интересное, что политика работает! Если попытаться заданное количество раз осуществить не успешный вход через второй контроллер (например с помощью LDAP bind), то пользователь блокируется.


Предлагаю сообществу в комментариях изложить свои версии причин происходящего, а также предложения по методике проверки работоспособности политики блокировки пользователя.


Я же обязуюсь к вечеру в любом случае выложить ответ на этот вопрос.


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers. Five Filters recommends: 'You Say What You Like, Because They Like What You Say' - http://www.medialens.org/index.php/alerts/alert-archive/alerts-2013/731-you-say-what-you-like-because-they-like-what-you-say.html


Комментариев нет:

Отправить комментарий