Active Directory

Det er default domain policy der styrer password ting

GPO guruen fortæller her om det: http://www.youtube.com/watch?v=1-9huZgxOSI

Du skal bruge Default Domain Security Settings.
Start >Programs >Administrative tools >Domain Security Policy
:-)

ok fint nok..

Men nu blir jeg rigtig forvirret..
maximum password age hentes lokalt???

forklaring:
Min AD ligger på en server...
Fra en anden Server har jeg mit program liggende som skal kigge i AD Serveren..
Mit program henter de rigtige brugere på AD serveren

Men maximum pwd age hentes lokalt der hvor programmet køre, der står det nemlig til 42 dage..

jeg kørte lige en GPEDIT.MSC og så at password policy er noget helt andet her..
Jeg bruger ellers den samme sti:
"LDAP://DomTemp.local", "Administrator", "password"
til at hente info

hmmm hva gør jeg forkert

hvis du siger at du har sat din password policy til 10 dage i default domain controller policy, så vil det ikke virke, da det er default domain policy der styrer password reglerne.

og som Jeremy også siger i linket, hvis man sætter det andre steder, så vil det kun virke såfremt der ikke er nogen domain controller i nærheden.

Hvis du har lavet en password policy, så vær sikker på at der ikke også er sat noget i default domain policy, da det altid er den der vinder hvis der er forskellige indstillinger.

Men hvad er så det jeg har liggende lokalt, på en anden maskine,  hvor mit program kører

default domain policy ... Mener du så "default domain security settings"

Det skal lige nævnes at jeg ikkke kan hente Maximum PWD Age fra en User.. det hentes fra domain/Builtin...

Har det noget at sige?

hvis du tager den via administrative tools, så ligger der både en default domain security settings og en default domain controller security settings, disse henviser til de group policies der ligger bagved som hedder default domain policy og default domain controller policy.

Der kan også laves flere policies hvis man ønsker det og har brug for det, til at lave flere forskellige ting. En GPO tilknyttes som regel en OU og kan derved hjælpe med at påtrykke forskellige indstillinger afhængig af hvilken OU man er medlem af (screen saver/baggrundsbillede/installerede applikationer osv)

Det at du har sat det i den som du kalder Domain controller security settings (som er tilknyttet den OU der hedder Domain Controllers) betyder at det kun virker for de brugere som ligger i den samme OU, hvilket i stort set alle tilfælde vil være ingen (der er normalt ikke brugere i denne OU)

Du skal istedet sætte den på domæne nivau ved hjælp af Default domain policy og vil herefter gælde for alle brugere i dit domæne, uanset om du laver en yderligere password policy.

ok det vil jeg lige prøve

så blev jeg lidt klogere på AD
læg et svar..

Fandt ud af:
Hvis jeg ændre MaxPasswordAge så skal min virtuelle server genstartes før det træder i kraft.. hmmm det lyder mystisk at man skal genstarte...

Det kommer an på hvor utålmodig man er. En GPO bliver påtrykt med jævne mellemrum afhængig af om det er en domain controller, så hedder den 5 min, eller hvis det er en member server, så er det så vidt jeg husker 90 min.

En genstart vil dog altid påtrykke alle policies igen, istedet kunne du have kørt en gpupdate.