IT2web

Системному администратору Windows Server

Главная --> Active Directory --> Изменения в парольной политике Windows 2008 - Что нельзя сделать с текущими политиками паролей

Изменения в парольной политике Windows 2008 - Что нельзя сделать с текущими политиками паролей

Индекс материала
Изменения в парольной политике Windows 2008
Установка политик учетных записей
Что нельзя сделать с текущими политиками паролей
Как обрабатываются пароли
Политики учетных записей в Windows Server 2008
Указание на параметры политики учетных записей
Все страницы


Что нельзя сделать с текущими политиками паролей

Существует ряд неверных предположений об управлении паролями в текущей реализации Active Directory (в Windows Server 2003), невзирая на годы тщательного тестирования и полное отсутствие подтверждения этих предположений. Совершенно ясно, что политика работает в точности так, как это предусмотрено.

Например, многие администраторы считают, что для пользователей одного домена может быть несколько политик паролей. Они предполагают, что можно создать объект групповой политики и связать его с подразделением. Идея состоит в том, чтобы переместить учетные записи в подразделение, чтобы на них влиял объект групповой политики. Внутри объекта групповой политики изменяются политики учетных записей и создается более безопасная политика паролей, например путем указания максимальной длины паролей равной 14 знакам. Однако по ряду причин такая конфигурация не даст желаемого результата. Во-первых, параметры политики паролей основаны на компьютерах, а не на пользователях. По этой причине они не будут влиять на учетные записи пользователей. Во-вторых, единственный способ изменения параметров политики учетных записей для учетной записи пользователя домена обеспечивается объектом групповой политики, связанным с доменом. Объекты групповой политики, связанные с подразделениями, которые настроены для изменения политик учетных записей, изменят локальный диспетчер учетных записей безопасности компьютеров, находящихся в подразделении или во вложенных подразделениях связанного подразделения.

Второе неверное предположение заключается в том, что параметры политик учетных записей, установленных в корневом домене (начальном домене леса Active Directory) будут унаследованы дочерними доменами леса. Это неверно. Заставить параметры работать таким образом — невозможно. Объекты групповой политики, связанные с доменом и подразделениями внутри одного домена, не повлияют на объекты в другом домене, даже если домен со связанными объектами групповой политики является корневым. Единственный способ распространения параметров объектов групповой политики в различных доменах — связать объекты групповой политики с сайтами Active Directory.



Комментарии  

 
#1 Kostya 09.12.2012 22:57
Администратор, придумай обновление сайта без блокировки всего ресурса. Весь день сайт на реконструкции
Цитировать
 
 
#2 standroot 19.06.2013 17:35
Цитирую Kostya:
Администратор, придумай обновление сайта без блокировки всего ресурса. Весь день сайт на реконструкции

Да, было дело. Просим прощения :)
Хостинг не справлялся. Сейчас страницы сайта отдаются в сжатом виде => хостингу легче, да и сам сайт открывается быстрее.
Цитировать