AD и просроченный пароль пользователя

  • Автор темы dalex
  • Дата начала
dalex

dalex

Новичок
Регистрация
15.02.2006
Сообщения
17 333
Реакции
49
Баллы
0
Добрый день, коллеги. Мучает меня одна мелочь, не могу найти где крутить.

Есть домен 2k3/Active Directory. Если у пользователя просрочен пароль (например был в отпуске), то система первый раз его молча пускает, но сетевые ресурсы уже под этим паролем не прокатывают. Если перезагрузиться, то винда говорит что пароль устарел и предлагает сменить его. Надо сделать так, что бы при просроченном пароле система сразу предлагала сменить.

Штудировал политики - не нашёл на эту тему ничего. М.б. плохо смотрел?
 
evn

evn

LPD: Земля
Регистрация
27.07.2005
Сообщения
28 585
Реакции
189
Баллы
63
Политика Kerberos
Принудительные ограничения входа пользователей.
Эта политика позволяет определить, должен ли центр распределения ключей Kerberos проверять каждый запрос билета сеанса на соответствие политике прав, действующей для учетных записей пользователей.
попробуй. сам с таким не сталкивался.
 
SciFi

SciFi

Новичок
Регистрация
03.02.2010
Сообщения
15 061
Реакции
45
Баллы
0
Добрый день, коллеги. Мучает меня одна мелочь, не могу найти где крутить.

Есть домен 2k3/Active Directory. Если у пользователя просрочен пароль (например был в отпуске), то система первый раз его молча пускает, но сетевые ресурсы уже под этим паролем не прокатывают. Если перезагрузиться, то винда говорит что пароль устарел и предлагает сменить его. Надо сделать так, что бы при просроченном пароле система сразу предлагала сменить.

Штудировал политики - не нашёл на эту тему ничего. М.б. плохо смотрел?

помоему у вас что то с сетевыми настройками, он не должен пускать при просроченном пароле.

ipconfig с доменного контроллера и клиента - выложите.
 
evn

evn

LPD: Земля
Регистрация
27.07.2005
Сообщения
28 585
Реакции
189
Баллы
63
это не с настройками сети связано. это контроллер домена...или гпо, либо еще что.
 
!Chip

!Chip

Активный участник
Регистрация
27.02.2008
Сообщения
42 382
Реакции
2 255
Баллы
113
Фаза луны
 
OP
dalex

dalex

Новичок
Регистрация
15.02.2006
Сообщения
17 333
Реакции
49
Баллы
0
SciFi

SciFi

Новичок
Регистрация
03.02.2010
Сообщения
15 061
Реакции
45
Баллы
0
Сообщение от SciFi
ipconfig с доменного контроллера и клиента - выложите.
Что он даст?

у меня впечетеление что клиент по какой то причине не обращается к ДК, именно поэтому и возможна загрузка под старым паролем.
 
OP
dalex

dalex

Новичок
Регистрация
15.02.2006
Сообщения
17 333
Реакции
49
Баллы
0
evn

evn

LPD: Земля
Регистрация
27.07.2005
Сообщения
28 585
Реакции
189
Баллы
63
SciFi,)
по твоим предположениям..комп не в ад....и ифконфиг опять ни при чем..
все же че то с тикетами...
 
!Chip

!Chip

Активный участник
Регистрация
27.02.2008
Сообщения
42 382
Реакции
2 255
Баллы
113
Надо смотреть что вылазит в логах АД когда авторизируется юзер с просроченым паролем это первое, второе попробывать вывести и ввести комп в АД, в любом случае смотреть логи.
 
SciFi

SciFi

Новичок
Регистрация
03.02.2010
Сообщения
15 061
Реакции
45
Баллы
0
SciFi,)
по твоим предположениям..комп не в ад....и ифконфиг опять ни при чем..
все же че то с тикетами...

не знаю как там и что. Могу только предположить. Именно для того что бы ответить без гадания - и спросил конкретику.

Комп может быть в домене, но там может быть много чего...
 
SerXio

SerXio

Участник
Регистрация
21.04.2009
Сообщения
1 432
Реакции
14
Баллы
38
Трабл в том что локальный комп кэширует логин/пароль.
Помнится что в политике безопасности домена где то надо запретить это дело.
Где точно не помню - сам я давно не админ. Но проблема не редкая.
 
SciFi

SciFi

Новичок
Регистрация
03.02.2010
Сообщения
15 061
Реакции
45
Баллы
0
Трабл в том что локальный комп кэширует логин/пароль.
Помнится что в политике безопасности домена где то надо запретить это дело.
Где точно не помню - сам я давно не админ. Но проблема не редкая.

прежде всего рабочая станция лезет на DC а уж потом если не находит на него - обращается к последним 10 сеансам залогиненых пользователей.
 
Y

Yujen

Guest
SciFi,)
по твоим предположениям..комп не в ад....и ифконфиг опять ни при чем..
все же че то с тикетами...
по любому ifconfig не причем, т.к. для винды это не извесная команда ))))

то система первый раз его молча пускает, но сетевые ресурсы уже под этим паролем не прокатывают. Если перезагрузиться, то винда говорит что пароль устарел и предлагает сменить его. Надо сделать так, что бы при просроченном пароле система сразу предлагала сменить.
поставь галочки
Требовать смену пароля и что жизнь пароля ограничена
 
SciFi

SciFi

Новичок
Регистрация
03.02.2010
Сообщения
15 061
Реакции
45
Баллы
0
по любому ifconfig не причем, т.к. для винды это не извесная команда ))))

evn просто опечатку допустил.

поставь галочки
Требовать смену пароля и что жизнь пароля ограничена

насколько понимаю у него стоят галочки. Если бы не стояли - то с чего бы не пускала система пользователя.

Жаль что так и не увидим ipconfig. Можно и в личку. Траблы с ДНС - значительная часть проблем у админов.
 
!Chip

!Chip

Активный участник
Регистрация
27.02.2008
Сообщения
42 382
Реакции
2 255
Баллы
113
Траблы с ДНС - значительная часть проблем у админов.

Я бы сказал что жесткая привязка АД к глючному виндовому ДНС создаёт большое количество проблем.
 
M

Mangoost

Новичок
Регистрация
26.10.2005
Сообщения
167
Реакции
0
Баллы
0
Скорей всего дело в физическом подключении компа к сети. Винда пускает по кешу пароля только в том случае, если нет физического подключения к сети, типа патчкорд выпал. Если подключение есть, то проверка пароля через контроллер домена идет, если контроллер не доступен то винда не пустит даже если пользователь-пароль верны. У вас авторизация на портах коммутатора включена? Очень похоже что порты долго включаются и пользователь успевает залогиниться.
 
Y

Yujen

Guest
evn просто опечатку допустил.
а вдруг )))))))))
насколько понимаю у него стоят галочки. Если бы не стояли - то с чего бы не пускала система пользователя.
когда эти галочки не столи, я такой эффект как у ТС наблюдал
Траблы с ДНС - значительная часть проблем у админов.
днс вещь коварная
у меня из-за упавшего днса, люди после отпуска, могли залогиниться только если сначало кабель седевой от компа отключить, ввести пароль, а потом подоткнуть, смена пароля в АД приводила к тому что юзер вообще потом залогиниться никак не мог

Я бы сказал что жесткая привязка АД к глючному виндовому ДНС создаёт большое количество проблем.
я бы тоже так сказал
 
OP
dalex

dalex

Новичок
Регистрация
15.02.2006
Сообщения
17 333
Реакции
49
Баллы
0
если контроллер не доступен то винда не пустит даже если пользователь-пароль верны
Пустит, проверял.

У вас авторизация на портах коммутатора включена?
Все свитчи неуправляемые.

По остальным предположениям посмотрю завтра.

SciFi, я так и не понял что именно ты хочешь там увидеть? Там информации то ноль целых, хрен десятых.

По поводу недоступности сервера - он не единственный контроллер этого домена, думаю клиент в случае недоступности переключился бы на второй и просто вход в сеть происходил бы на несколько секунд дольше.

Yujen, если не обшибаюсь, то включено. Но завтра посмотрю, а то ты на меня сомнения нагнал :)
 
D

Demon™

Новичок
Регистрация
02.08.2007
Сообщения
1 527
Реакции
19
Баллы
0
Посмотри системные логи. Был такой косяк, что сетевое соединение активируется уже после попытки логина компа в домен. Решение - обновить дрова сетевой.
 
Верх Низ