none
域控本地安全策略设置问题 RRS feed

  • 问题

  • 您好,

    我有多台域控,是在不同的网段,给不同网段的客户端提供服务。我应用了默认域策略的密码策略,设置为10天过期,现在需要改成180天,大部分网段都成功生效了这个策略。但是有一个网段的客户端还是10天过期。

    通过我这边的检查发现:客户端都应用到了180天的组策略;域控上面也可以看到策略变成了180天。我在客户端运行rsop.msc,也看到应用了这个策略;但是我在域控上面去运行rsop.msc,发现密码策略都是未定义,右击计算机配置-属性,我勾选了所有选项,发现本地组策略是未应用(空)的状态。我去检查域控的本地安全策略,发现密码策略设置的就是10天,而其他正常的域控上已经变成了180天。

    因此,是域控本地安全策略没有应用到这个组策略才导致的策略没有生效,但是我检查了所有域控都在域控制器这个ou下面,但是组策略依旧无法应用到本地安全策略。因此我通过下列命令去重置了本地安全策略,现在密码策略变为42天过期:

    secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

    但是组策略依旧无法应用到这台域控的本地安全策略,是否有什么解决的方法?

    谢谢!

    2019年6月18日 2:01

全部回复

  • 1、首先确认一点,有问题的这台域控和其他正常的域控是在同一个OU下,且之前没有设置阻止继承组策略?

    2、检查一下有问题的域控和其他域控的DNS、网关设置是否相同?

    3、运行以下gpupdate /force,是否运行结果显示正常?

    4、windows日志中是否有其他的错误?

    如还有其他问题,可以邮件至iamli2000@163.com。

    2019年6月18日 4:21
  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据我们的描述,我们可以在有问题的域控制器上,使用管理员账户登录此台域控制器,以管理员身份运行cmd, 输入命令gpresult /h C:\report (或者net accounts命令),然后检查这个密码策略。

    如果确实还是10天过期,我们不同网段的域控制器是分布在不同的站点,对吗?如果是的话,是否是那个站点的域控制器还没有复制到最新的密码策略, 从而那个网段的客户端也没有应用到最新的密码策略。站点间的复制周期是多久呢?

    请解释一下这句话“
    右击计算机配置-属性,我勾选了所有选项,发现本地组策略是未应用(空)的状态”意思,可以截图说明吗?


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月18日 5:12
    版主
  • 您好,

    从gpresult /h看到策略里面没有密码策略的内容,正常的域控是有的,组策略肯定复制到域控了,因为客户端正常应用了组策略,只是域控上没有应用成功,因此该台域控(该站点)上账号的密码策略还是应用之前的10天,所以导致了密码策略没有成功应用。

    域控都在域控制器ou下,没有阻止继承;dns网关等都设置正确;运行gpupdate /force正常。windows日志中未发现相关报错。

    现在我认为解决这个问题可以这样:

    1.修改本地安全策略,但是域控的本地安全策略是灰的,我无法进行修改,是否有修改的方法?

    2.组策略如何成功应用到域控的本地安全策略。

    未应用的报错如下图

    谢谢!


    2019年6月18日 5:55
  • 尊敬的客户,您好!

    如果需要改动这个策略,我们无法更改本地策略,因为受域策略控制了。我们可以尝试这样的方法:
    用管理员账号登录这台域控制器,打开这台域控制器上的组策略编辑器,然后右击默认的域策略,找到相应的策略,尝试修改为180天看看。如果域策略应用了,对应的本地策略也会更改了。



    在我的测试环境中,两个域控制器,在同一个站点,不管我在哪一个域控制器上更改密码策略,运行gpupdate /force后,密码策略都会立刻更改过来。所以我认为可能是那台域控制器的还没有复制到最新的密码策略。我们可以在任意一个域控上创建对象,然后看这个新的对象是否会被复制到这台有问题的域控制器。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月18日 9:12
    版主
  • 您好,

    目前问题就是组策略应用不到域控的本地策略;

    域控肯定复制到最新的策略了,因为客户端只连接这台域控,客户端拿到了策略是正常的,而且我检查了域策略显示是180天,同时sysvol下面也是可以看到策略设置了180天。

    是否有配置文件可以修改域控的本地策略?

    谢谢!

    2019年6月19日 2:30
  • 尊敬客户,您好!
    没有办法更改域控制器的本地策略,我们在这台域控制器上运行net accounts命令,看密码策略是什么设置。

    例如,在我的测试环境中




    如果还是没显示180天,我们检查所有应用到这个域控制器的GPO中, 是否还设置了其他的密码策略。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月19日 2:55
    版主
  • 您好,

    运行net accounts的话出现的是域控本地策略的策略信息,42天过期。

    所以这个问题的话只有通过重新部署域控来解决了?

    2019年6月20日 2:32
  • 尊敬的客户,您好!

    用管理员账号登录这台有问题的域控制器,打开这台域控制器上的组策略编辑器(不是本地组策略),然后右击默认的域策略,找到相应的策略,查看这个值是180天吗?如果不是,可以修改吗?




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月20日 3:13
    版主
  • 尊敬的客户,您好!
    首先,祝愿您今天有个好心情。
    其次,关于您在帖子中提到的问题有更新吗?或者需要我为您提供什么帮助吗?
    最后,感谢您的理解和支持,祝愿您工作愉快!
     


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月24日 5:43
    版主
  • 您好,

    是180天,但是本地安全策略就是42天。

    2019年6月24日 9:07
  • 非常好,我收藏了!
    2019年6月24日 9:09
  • 尊敬的客户,您好!
    根据这句话:
    因此我通过下列命令去重置了本地安全策略,现在密码策略变为42天过期:
    secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose


    我们是否可以通过以上命令重置为180天?


    不知道是否跟我们重置为42天有关,如果不着急解决的话,我们观看到底是42天过期还是180天过期。


    如果着急解决的话,我们可以尝试重新加入一台域控,看这个密码策略是多少。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月25日 10:35
    版主
  • 尊敬的客户,您好!
    首先,祝愿您今天有个好心情。
    其次,关于您在帖子中提到的问题有更新吗?或者需要我为您提供什么帮助吗?
    最后,感谢您的理解和支持,祝愿您工作愉快!



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月27日 11:14
    版主
  • 尊敬的客户,您好!

    请问我们的问题是否解决了呢?如果我们使用自己的方法解决的话,我们可以在这里回复一下。如果我们使用以上的回复解决的话,我们可以把它标记为答案。这对于那些正在查找类似问题的答案的人将很有帮助。

    如果有不清楚的地方,请随时告诉我们。感谢您的理解和支持!

    祝您工作生活愉快!



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月1日 9:40
    版主