Помощь Регистрация
Страница 1 из 2 12 ПоследняяПоследняя
Показано с 1 по 25 из 50
  1. #1
    Аватар для dalex
    Регистрация
    15.02.2006
    Пол
    Пол: Мужской
    Авто
    Kia Sorento
    Возраст
    36
    Сообщений
    17 310
    Благодарности

    Question AD и просроченный пароль пользователя

    Добрый день, коллеги. Мучает меня одна мелочь, не могу найти где крутить.

    Есть домен 2k3/Active Directory. Если у пользователя просрочен пароль (например был в отпуске), то система первый раз его молча пускает, но сетевые ресурсы уже под этим паролем не прокатывают. Если перезагрузиться, то винда говорит что пароль устарел и предлагает сменить его. Надо сделать так, что бы при просроченном пароле система сразу предлагала сменить.

    Штудировал политики - не нашёл на эту тему ничего. М.б. плохо смотрел?

  2. #2
    Banned (Read Only) Аватар для evn
    Регистрация
    27.07.2005
    Авто
    ██████
    Сообщений
    28 461
    Благодарности
    Политика Kerberos
    Принудительные ограничения входа пользователей.
    Эта политика позволяет определить, должен ли центр распределения ключей Kerberos проверять каждый запрос билета сеанса на соответствие политике прав, действующей для учетных записей пользователей.
    попробуй. сам с таким не сталкивался.

  3. #3
    Аватар для SciFi
    Регистрация
    03.02.2010
    Пол
    Пол: Мужской
    Возраст
    42
    Сообщений
    14 670
    Благодарности
    Записей в дневнике
    281
    Цитата Сообщение от dalex Посмотреть сообщение
    Добрый день, коллеги. Мучает меня одна мелочь, не могу найти где крутить.

    Есть домен 2k3/Active Directory. Если у пользователя просрочен пароль (например был в отпуске), то система первый раз его молча пускает, но сетевые ресурсы уже под этим паролем не прокатывают. Если перезагрузиться, то винда говорит что пароль устарел и предлагает сменить его. Надо сделать так, что бы при просроченном пароле система сразу предлагала сменить.

    Штудировал политики - не нашёл на эту тему ничего. М.б. плохо смотрел?
    помоему у вас что то с сетевыми настройками, он не должен пускать при просроченном пароле.

    ipconfig с доменного контроллера и клиента - выложите.

  4. #4
    Banned (Read Only) Аватар для evn
    Регистрация
    27.07.2005
    Авто
    ██████
    Сообщений
    28 461
    Благодарности
    это не с настройками сети связано. это контроллер домена...или гпо, либо еще что.

  5. #5
    Banned (Read Only)
    Регистрация
    27.02.2008
    Пол
    Пол: Мужской
    Авто
    Сервантик
    Возраст
    36
    Сообщений
    34 587
    Благодарности
    Записей в дневнике
    2
    Фаза луны

  6. #6
    Аватар для dalex
    Регистрация
    15.02.2006
    Пол
    Пол: Мужской
    Авто
    Kia Sorento
    Возраст
    36
    Сообщений
    17 310
    Благодарности
    Цитата Сообщение от evn Посмотреть сообщение
    попробуй. сам с таким не сталкивался.
    Включен...

    Цитата Сообщение от !Chip Посмотреть сообщение
    Фаза луны
    Слишком часто для луны.

    Цитата Сообщение от SciFi Посмотреть сообщение
    ipconfig с доменного контроллера и клиента - выложите.
    Что он даст?

  7. #7
    Аватар для SciFi
    Регистрация
    03.02.2010
    Пол
    Пол: Мужской
    Возраст
    42
    Сообщений
    14 670
    Благодарности
    Записей в дневнике
    281
    Цитата Сообщение от dalex Посмотреть сообщение
    Сообщение от SciFi
    ipconfig с доменного контроллера и клиента - выложите.
    Что он даст?
    у меня впечетеление что клиент по какой то причине не обращается к ДК, именно поэтому и возможна загрузка под старым паролем.

  8. #8
    Аватар для dalex
    Регистрация
    15.02.2006
    Пол
    Пол: Мужской
    Авто
    Kia Sorento
    Возраст
    36
    Сообщений
    17 310
    Благодарности
    Цитата Сообщение от SciFi Посмотреть сообщение
    у меня впечетеление что клиент по какой то причине не обращается к ДК, именно поэтому и возможна загрузка под старым паролем.
    А что даст ipconfig?

  9. #9
    Banned (Read Only) Аватар для evn
    Регистрация
    27.07.2005
    Авто
    ██████
    Сообщений
    28 461
    Благодарности
    SciFi,)
    по твоим предположениям..комп не в ад....и ифконфиг опять ни при чем..
    все же че то с тикетами...

  10. #10
    Banned (Read Only)
    Регистрация
    27.02.2008
    Пол
    Пол: Мужской
    Авто
    Сервантик
    Возраст
    36
    Сообщений
    34 587
    Благодарности
    Записей в дневнике
    2
    Надо смотреть что вылазит в логах АД когда авторизируется юзер с просроченым паролем это первое, второе попробывать вывести и ввести комп в АД, в любом случае смотреть логи.

  11. #11
    Аватар для SciFi
    Регистрация
    03.02.2010
    Пол
    Пол: Мужской
    Возраст
    42
    Сообщений
    14 670
    Благодарности
    Записей в дневнике
    281
    Цитата Сообщение от evn Посмотреть сообщение
    SciFi,)
    по твоим предположениям..комп не в ад....и ифконфиг опять ни при чем..
    все же че то с тикетами...
    не знаю как там и что. Могу только предположить. Именно для того что бы ответить без гадания - и спросил конкретику.

    Комп может быть в домене, но там может быть много чего...

  12. #12
    Аватар для SerXio
    Регистрация
    21.04.2009
    Пол
    Пол: Мужской
    Сообщений
    1 436
    Благодарности
    Трабл в том что локальный комп кэширует логин/пароль.
    Помнится что в политике безопасности домена где то надо запретить это дело.
    Где точно не помню - сам я давно не админ. Но проблема не редкая.

  13. #13
    Аватар для SciFi
    Регистрация
    03.02.2010
    Пол
    Пол: Мужской
    Возраст
    42
    Сообщений
    14 670
    Благодарности
    Записей в дневнике
    281
    Цитата Сообщение от SerXio Посмотреть сообщение
    Трабл в том что локальный комп кэширует логин/пароль.
    Помнится что в политике безопасности домена где то надо запретить это дело.
    Где точно не помню - сам я давно не админ. Но проблема не редкая.
    прежде всего рабочая станция лезет на DC а уж потом если не находит на него - обращается к последним 10 сеансам залогиненых пользователей.

  14. #14
    Yujen
    Guest
    Цитата Сообщение от evn Посмотреть сообщение
    SciFi,)
    по твоим предположениям..комп не в ад....и ифконфиг опять ни при чем..
    все же че то с тикетами...
    по любому ifconfig не причем, т.к. для винды это не извесная команда ))))

    Цитата Сообщение от dalex Посмотреть сообщение
    то система первый раз его молча пускает, но сетевые ресурсы уже под этим паролем не прокатывают. Если перезагрузиться, то винда говорит что пароль устарел и предлагает сменить его. Надо сделать так, что бы при просроченном пароле система сразу предлагала сменить.
    поставь галочки
    Требовать смену пароля и что жизнь пароля ограничена

  15. #15
    Аватар для SciFi
    Регистрация
    03.02.2010
    Пол
    Пол: Мужской
    Возраст
    42
    Сообщений
    14 670
    Благодарности
    Записей в дневнике
    281
    Цитата Сообщение от Yujen Посмотреть сообщение
    по любому ifconfig не причем, т.к. для винды это не извесная команда ))))
    evn просто опечатку допустил.

    Цитата Сообщение от Yujen Посмотреть сообщение
    поставь галочки
    Требовать смену пароля и что жизнь пароля ограничена
    насколько понимаю у него стоят галочки. Если бы не стояли - то с чего бы не пускала система пользователя.

    Жаль что так и не увидим ipconfig. Можно и в личку. Траблы с ДНС - значительная часть проблем у админов.

  16. #16
    Banned (Read Only)
    Регистрация
    27.02.2008
    Пол
    Пол: Мужской
    Авто
    Сервантик
    Возраст
    36
    Сообщений
    34 587
    Благодарности
    Записей в дневнике
    2
    Цитата Сообщение от SciFi Посмотреть сообщение
    Траблы с ДНС - значительная часть проблем у админов.
    Я бы сказал что жесткая привязка АД к глючному виндовому ДНС создаёт большое количество проблем.

  17. #17

    Регистрация
    26.10.2005
    Пол
    Пол: Мужской
    Авто
    ваз 11194
    Возраст
    36
    Сообщений
    167
    Благодарности
    Скорей всего дело в физическом подключении компа к сети. Винда пускает по кешу пароля только в том случае, если нет физического подключения к сети, типа патчкорд выпал. Если подключение есть, то проверка пароля через контроллер домена идет, если контроллер не доступен то винда не пустит даже если пользователь-пароль верны. У вас авторизация на портах коммутатора включена? Очень похоже что порты долго включаются и пользователь успевает залогиниться.

  18. #18
    Yujen
    Guest
    Цитата Сообщение от SciFi Посмотреть сообщение
    evn просто опечатку допустил.
    а вдруг )))))))))
    Цитата Сообщение от SciFi Посмотреть сообщение
    насколько понимаю у него стоят галочки. Если бы не стояли - то с чего бы не пускала система пользователя.
    когда эти галочки не столи, я такой эффект как у ТС наблюдал
    Цитата Сообщение от SciFi Посмотреть сообщение
    Траблы с ДНС - значительная часть проблем у админов.
    днс вещь коварная
    у меня из-за упавшего днса, люди после отпуска, могли залогиниться только если сначало кабель седевой от компа отключить, ввести пароль, а потом подоткнуть, смена пароля в АД приводила к тому что юзер вообще потом залогиниться никак не мог

    Цитата Сообщение от !Chip Посмотреть сообщение
    Я бы сказал что жесткая привязка АД к глючному виндовому ДНС создаёт большое количество проблем.
    я бы тоже так сказал

  19. #19
    Аватар для dalex
    Регистрация
    15.02.2006
    Пол
    Пол: Мужской
    Авто
    Kia Sorento
    Возраст
    36
    Сообщений
    17 310
    Благодарности
    Цитата Сообщение от Mangoost Посмотреть сообщение
    если контроллер не доступен то винда не пустит даже если пользователь-пароль верны
    Пустит, проверял.

    Цитата Сообщение от Mangoost Посмотреть сообщение
    У вас авторизация на портах коммутатора включена?
    Все свитчи неуправляемые.

    По остальным предположениям посмотрю завтра.

    SciFi, я так и не понял что именно ты хочешь там увидеть? Там информации то ноль целых, хрен десятых.

    По поводу недоступности сервера - он не единственный контроллер этого домена, думаю клиент в случае недоступности переключился бы на второй и просто вход в сеть происходил бы на несколько секунд дольше.

    Yujen, если не обшибаюсь, то включено. Но завтра посмотрю, а то ты на меня сомнения нагнал

  20. #20

    Регистрация
    02.08.2007
    Пол
    Пол: Мужской
    Авто
    Hyundai Accent
    Возраст
    39
    Сообщений
    1 527
    Благодарности
    Посмотри системные логи. Был такой косяк, что сетевое соединение активируется уже после попытки логина компа в домен. Решение - обновить дрова сетевой.

  21. #21

    Регистрация
    26.10.2005
    Пол
    Пол: Мужской
    Авто
    ваз 11194
    Возраст
    36
    Сообщений
    167
    Благодарности
    Цитата Сообщение от dalex Посмотреть сообщение
    Пустит, проверял.

    Если линка у сетевой не будет, то заход будет по кешу. Если линк есть, то ищем контроллер, не находим - получаем об этом сообщение и залогиниться не сможем.

  22. #22
    Аватар для SciFi
    Регистрация
    03.02.2010
    Пол
    Пол: Мужской
    Возраст
    42
    Сообщений
    14 670
    Благодарности
    Записей в дневнике
    281
    Цитата Сообщение от dalex Посмотреть сообщение
    SciFi, я так и не понял что именно ты хочешь там увидеть? Там информации то ноль целых, хрен десятых.

    По поводу недоступности сервера - он не единственный контроллер этого домена, думаю клиент в случае недоступности переключился бы на второй и просто вход в сеть происходил бы на несколько секунд дольше.
    dalex. Даже и не знаю что ответить. Вот чесно. Мне третий раз попросить Вам помочь? Ну если боитесь что вас хакнут от полученных сведений - напишите в личку!!!

    Распишу алгоритм.

    1. проблема в НЕ правилльной настройке ДНС на клиете
    2. проблема в НЕ правильной настройке ДНС на сервере
    3. судя по тому что у Вас есть и второй ДК- проблема с ДНС.
    4. вообще не понятно что с IP адресами у Вас.

    И ещё dalex - ну это же обычная процедура!!! Почитайте сисадминс.ру там люди делятся и более сокровенными настройками! Человек может допускать банальные ошибки - на то он и человек. Взгляд со стороны важен!

    А то здесь народ уже что только Вам не насоветовал... Заметьте - насоветовал от того что в глаза НЕ видел! У меня же желание ответить после того как увижу подробности.

  23. #23
    Аватар для dalex
    Регистрация
    15.02.2006
    Пол
    Пол: Мужской
    Авто
    Kia Sorento
    Возраст
    36
    Сообщений
    17 310
    Благодарности
    Цитата Сообщение от SciFi Посмотреть сообщение
    dalex. Даже и не знаю что ответить. Вот чесно. Мне третий раз попросить Вам помочь?
    Ну давай
    ipconfig /all

    Настройка протокола IP для Windows

    Имя компьютера . . . . . . . . . : PRIDC
    Основной DNS-суффикс . . . . . . : net.org.int
    Тип узла. . . . . . . . . . . . . : Гибридный
    IP-маршрутизация включена . . . . : Нет
    WINS-прокси включен . . . . . . . : Нет
    Порядок просмотра суффиксов DNS . : net.org.int
    org.int

    Ethernet adapter Подключение по локальной сети:

    DNS-суффикс подключения . . . . . :
    Описание. . . . . . . . . . . . . : HP NC7760 Gigabit Server Adapter
    Физический адрес. . . . . . . . . : 00-5B-3A-EE-E7-18
    DHCP включен. . . . . . . . . . . : Нет
    Автонастройка включена. . . . . . : Да
    IPv4-адрес. . . . . . . . . . . . : 10.16.12.16(Основной)
    Маска подсети . . . . . . . . . . : 255.255.255.0
    IPv4-адрес. . . . . . . . . . . . : 10.16.14.15(Основной)
    Маска подсети . . . . . . . . . . : 255.255.255.0
    Основной шлюз. . . . . . . . . :
    DNS-серверы. . . . . . . . . . . : 10.16.14.12
    127.0.0.1
    NetBios через TCP/IP. . . . . . . . : Включен

    Туннельный адаптер Подключение по локальной сети* 8:

    Состояние носителя. . . . . . . . : Носитель отключен
    DNS-суффикс подключения . . . . . :
    Описание. . . . . . . . . . . . . : isatap.{B683EA4A-87EB-431D-B7B6-27653EFBCECE}
    Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
    DHCP включен. . . . . . . . . . . : Нет
    Автонастройка включена. . . . . . : Да

  24. #24
    Аватар для SciFi
    Регистрация
    03.02.2010
    Пол
    Пол: Мужской
    Возраст
    42
    Сообщений
    14 670
    Благодарности
    Записей в дневнике
    281
    Цитата Сообщение от dalex Посмотреть сообщение
    Ну давай
    ну не заставляй работать штатным телепатом - это первый доменный контроллер?

  25. #25
    Banned (Read Only) Аватар для evn
    Регистрация
    27.07.2005
    Авто
    ██████
    Сообщений
    28 461
    Благодарности
    Цитата Сообщение от SciFi Посмотреть сообщение
    ну не заставляй работать штатным телепатом - это первый доменный контроллер?
    в этом есть смысл? )
    если, как вы говорите, проблема в днс...ну тогда уж точно не ip/ifconfig просить...
    тогда бы уж нслукап с клиентской машины для контролера и наоборот ))

Страница 1 из 2 12 ПоследняяПоследняя
Похожие темы
  1. Продаю усь ORIS AD-2000
    от eclioce47 в разделе АвтоЗвук и Сигнализации
    Ответов: 1
    Последнее сообщение: 25.06.2006, 12:42
  2. Белая горячка. Руководство пользователя (Познавательно!!!)
    от Qok в разделе Полезно. Интересно. Познавательно
    Ответов: 0
    Последнее сообщение: 13.05.2006, 20:37
  3. Неактуально продается Nissan AD
    от Anonymous в разделе Автомобили
    Ответов: 13
    Последнее сообщение: 09.02.2005, 22:26
  4. почему пароль не опознает?
    от Anonymous в разделе Советы, отзывы, критика, рекомендации
    Ответов: 2
    Последнее сообщение: 17.03.2004, 21:22
  5. Продаю усь ORIS AD-2000
    от eclioce47 в разделе АвтоЗвук
    Ответов: 1
    Последнее сообщение: 02.01.1970, 14:04
Ваши права
  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •