|
RJ-45
|
 |
« : Octubre 19, 2010, 04:08:00 » |
|
Buenas, Tengo un controlador de dominio Windows 2003 R2 y clientes Windows XP SP3. Lo que quiero es que si un usuairo mete mal 5 veces el password, la cuenta se le bloquee durante 30 minutos, o hasta que yo se la desbloquee. He creado esta GPO, y la he aplicado a un equipo, pero no hay manera de que bloquee la cuenta.  La GPO la está aplicando: CONFIGURACIÓN DE EQUIPO
------------------------
CN=PCPRUEBAS,OU=Pruebas,OU=Usuarios Empresa,OU=SDS,DC=sub,DC=dominio,DC=es
Última vez que se aplicó las Directivas de grupo19/10/2010 at 16:35:49
Directivas de grupo aplicadas desdemicontrolador.sub.dominio.es
Umbral del vÃnculo lento de las Directivas de grupo500 kbps
Objetos de directiva de grupo aplicados
----------------------------------------
BloqueoUsuariosLogueo
Los objetos GPO siguientes no se aplicaron porque fueron filtrados
-------------------------------------------------------------------
Bloqueo de Navegadores
Filtrar: No aplicado (vacÃo) ¿Alguna idea de por qué no bloquea la cuenta del usuario? ¿Hay que añadir lago más a parte de esot en la parte de la GPO que afecta al usuario? Gracias por adelantado. Un saludo |
|
|
|
|
En línea
|
|
|
|
|
ZaK
|
|
« Respuesta #1 : Octubre 20, 2010, 08:40:00 » |
|
¿Cómo aplicas la GPO?
los settings de users solo se aplican a objetos "user", es decir, lo linkas a OUs que contienen "users". Y las de computer, a objetos "computer". Aunque parece que te la coge bien.
Yo por ejemplo tengo una "default policy" aplicada para todo el dominio, entonces todo lo que cuelga de ahi recoge los settings, tanto de "computer" como de "user".
Fuerzas el update?(gpupdate /force)
|
|
|
|
« Última modificación: Octubre 20, 2010, 08:49:38 por ZaK »
|
En línea
|
|
|
|
|
RJ-45
|
|
« Respuesta #2 : Octubre 20, 2010, 09:41:35 » |
|
Buenas Zak, Nada de eso es el problema, ya que las otras 20 polÃticas que tengo, tanto de usuario como de equipo se aplican sin problemas. He probado a hacer varios "gpupdate /force" en el controlador de dominio, y en el cliente. He probado en varias máquinas distintas, y todas cogen la polÃtica, pero no bloquean el usuario  Incluso he probado en máuqinas virtuales/fÃsicas y conectándome directamente y por terminal server, por si habÃa diferencia. Nada. Gracias! |
|
|
|
|
En línea
|
|
|
|
|
ZaK
|
|
« Respuesta #3 : Octubre 20, 2010, 10:19:58 » |
|
mmmm has comprobado que el ordenador en concreto se conecta al DC? es decir, hace la consulta de si debe bloquear el usuario.
No sea el caso de que se quede en cache y no bloquea el usuario en el DC. A nivel local no se si lo bloquearia. Con que usuario haces las pruebas? con uno normal o con un admin?
|
|
|
|
|
En línea
|
|
|
|
|
RJ-45
|
|
« Respuesta #4 : Octubre 20, 2010, 10:24:09 » |
|
mmmm has comprobado que el ordenador en concreto se conecta al DC? es decir, hace la consulta de si debe bloquear el usuario.
No sea el caso de que se quede en cache y no bloquea el usuario en el DC. A nivel local no se si lo bloquearia. Con que usuario haces las pruebas? con uno normal o con un admin?
Como te digo he probado en varios equipos, y las demás polÃtimas se aplican. ¿Cómo verifÃco que hace la consulta? En un equipo donde este usuario nunca se ha logueado, entra en el dominio sin problema, asà que la comunicación con el DC debe ser correcta. Las pruebas están hechas con un usuario normal, metido en el grupo de admins locales en el propio cliente. Voy a mirar la default, a ver si se contradicen. Gracias de nuevo |
|
|
|
|
En línea
|
|
|
|
|
RJ-45
|
|
« Respuesta #5 : Octubre 20, 2010, 10:28:44 » |
|
La Default Domain Policy tiene los mismos parámetros que la GPO que he creado, asà que si no es por una, deberÃa cogerla por otra  |
|
|
|
|
En línea
|
|
|
|
|
ZaK
|
|
« Respuesta #6 : Octubre 20, 2010, 10:30:34 » |
|
en el visor de eventos del DC puedes ver si hay autenticación por parte del ordenador. Lo único que se me ocurre es eso... o alguna politica que evite bloquear usuarios. Pero no se donde está esa opción...
|
|
|
|
|
En línea
|
|
|
|
|
RJ-45
|
|
« Respuesta #7 : Octubre 20, 2010, 01:02:31 » |
|
Mira el resultado de RSOP.msc La aplica correctamente   |
|
|
|
|
En línea
|
|
|
|
|
ZaK
|
|
« Respuesta #8 : Octubre 20, 2010, 03:39:06 » |
|
Pues ni idea la verdad. Ya te digo, es como si no "actualizase" el estado en el controlador de dominio y tirase de cache (como cuando un PC no está en red, el usuario puede estar bloqueado, pero al no encontrar el DC, solo puede comparar password localmente, incluso siendo un password antiguo cambiado despues de desconectar de la red...)
|
|
|
|
|
En línea
|
|
|
|
|
ZaK
|
|
« Respuesta #9 : Octubre 20, 2010, 04:26:29 » |
|
mira el tema de la cache, cuantos intentos tienes. Por defecto se ponen 10 intentos. bueno, mas bien, 10 logons antes de forzar la conexión al DC. Security settings - local policies - security options --> interactive logon (es que lo tengo en ingles en el curro todo  ) |
|
|
|
|
En línea
|
|
|
|
|
RJ-45
|
|
« Respuesta #10 : Octubre 21, 2010, 07:32:44 » |
|
mira el tema de la cache, cuantos intentos tienes. Por defecto se ponen 10 intentos. bueno, mas bien, 10 logons antes de forzar la conexión al DC. Security settings - local policies - security options --> interactive logon (es que lo tengo en ingles en el curro todo ) El valor es "No definido". Hay una cosa que sospechaba desde hace tiempo, y lo acabo de confirmar. La Default Domain Policy no se está aplicando No se el motico, ya que algunas UO tienen bloqueada la herencia, pero solo algunas. Lo empecé a sospechar cuando a los usuarios no se les avisaba de que tenÃan que cambiar la clave. |
|
|
|
|
En línea
|
|
|
|
|
ZaK
|
|
« Respuesta #11 : Octubre 21, 2010, 09:26:11 » |
|
Bueno, realmente ese es "otro" problema... y es que si los usuarios no reinician la máquina, muchas veces tira de cache... si tira de cache, no comprueba el PasswordAge en el DC... con lo cual no avisa de cuanto tiempo queda para la expiración... Yo acabo de comprobar que en oficinas no se aplica.. not defined también... pero como ese dominio no lo administro yo.. no puedo tocar nada. ahora haré una comprobación en otro dominio que si tengo privilegios para trastear y te digo algo.
EDIT:
Efectivamente, en el otro dominio se aplica la default policy y aparece el número de dias de antelación. Creo que tu problema radica ahÃ... que tira de cache al no aplicarse la default policy. A la default policy prueba a ponerla como forzada... a ver si asÃ..
|
|
|
|
« Última modificación: Octubre 21, 2010, 09:31:43 por ZaK »
|
En línea
|
|
|
|
|
RJ-45
|
|
« Respuesta #12 : Octubre 21, 2010, 11:24:31 » |
|
Uff, ahora me ha caido un marrón bastante gordo. Tengo que montar 3 entornos con Windows 2008 y bastantes servicios para ayer  La semana que viene seguiré con este tema (de todas formas, anoche lo puse en enforcement a ver que tal) Gracias compañero! |
|
|
|
|
En línea
|
|
|
|
|
RJ-45
|
|
« Respuesta #13 : Octubre 26, 2010, 09:11:13 » |
|
Bueno, tras salir del marrón, me puse ayer con este tema. Ya conseguà que aplicara la Default Domain Policy (tube que marcar "Enforcement" y "Linked", pero no con los efectos esperados.
Ya bloquea a los usuarios al 5º intento de password, pero tambien a otros que ni siquiera están logueados.
Lo que me mosquea es que mi usuario (administrador de dominio) e suno de los que más se bloquean. He pensado que hay algún listillo intentando sacar el password, pero tengo activada la auditorÃa de inicio de sesión, y no veo intentos desde ningún sitio.
No se si hay alguna tarea programada con algún password antiguo o algo.
Ya lo seguiré mirando más adelante.
Gracias!
|
|
|
|
|
En línea
|
|
|
|
|
ZaK
|
|
« Respuesta #14 : Octubre 26, 2010, 02:01:57 » |
|
Conficker? se liaba a probar usuarios/password por doquier... yo lo sufri en mis carnes...
|
|
|
|
|
En línea
|
|
|
|
|
Portal
Suscribete
Sistemas operativos y Software
