[2008R2] AD-password corrupt? - Serversoftware en clouddiensten

donderdag 14 juni 2012 09:04

Acties:

Topicstarter

Goedemorgen,

Bij ons op de zaak draaien we onze AD met twee 2008 R2 Standard Core-servers.
Nu maken we in ons magazijn gebruik van een user 'magazijn' met een non-expiring password. Gebruikers kunnen dat ook niet wijzigen.

Dat account wordt op alle werkstations die er in het magazijn staan gebruikt, dat werkt opzich goed.

Gistermiddag is er een nieuw werkstation in het magazijn bijgeplaatst en is voor de eerste keer ingelogd met dat account op die computer. Gisteravond werd ik gebeld door een collega, die meldde me dat het wachtwoord foutief was op alle computers en dat men niet meer vooruit kon.

Ik heb het wachtwoord via AD geresetted en toen werkte het weer. Dit hebben we wel al eens eerder gehad, maar ook toen betrof het account voor het magazijn. Alle overige gebruikers hebben nergens last van.

Heeft iemand ervaring hiermee?

donderdag 14 juni 2012 09:08

Acties:

arjants

3x verkeerde wachtwoord gebruikt en gelocked?

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

donderdag 14 juni 2012 09:10

Acties:

Pingelmonster

Topicstarter

arjants schreef op donderdag 14 juni 2012 @ 09:08:
3x verkeerde wachtwoord gebruikt en gelocked?

Ah, dat zou zomaar 's kunnen.
Kan ik ergens fixeren dat er geen lockout op dat account mogelijk is?

donderdag 14 juni 2012 09:12

Acties:

Coach4All

I'm a Coach 4 All

Pingelmonster schreef op donderdag 14 juni 2012 @ 09:10:
[...]

Ah, dat zou zomaar 's kunnen.
Kan ik ergens fixeren dat er geen lockout op dat account mogelijk is?

Ja, op de OU waar de user magazijn in zit een policy zetten waar het aantal retries voor een lockout 0 is.

--- Systeembeheerdersdag --- Voedselintolerantie ---

donderdag 14 juni 2012 10:22

Acties:

Linke Loe

Coach4All schreef op donderdag 14 juni 2012 @ 09:12:
[...]

Ja, op de OU waar de user magazijn in zit een policy zetten waar het aantal retries voor een lockout 0 is.

Helaas gaat dit niet zomaar op... Een password policy is domain wide, dus moet dit in de default domain policy gedaan worden. Je kan ook granular password settings maken, maar daar is iets meer voor nodig dan alleen een GPO op een OU zetten...

donderdag 14 juni 2012 10:43

Acties:

BCC

Als je dan toch overal dezelfde gebruikersnaam/ww combinatie gebruikt, kun je al die systemen net zo goed automatisch laten inloggen.

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

donderdag 14 juni 2012 10:55

Acties:

Coach4All

I'm a Coach 4 All

Linke Loe schreef op donderdag 14 juni 2012 @ 10:22:
[...]

Helaas gaat dit niet zomaar op... Een password policy is domain wide, dus moet dit in de default domain policy gedaan worden. Je kan ook granular password settings maken, maar daar is iets meer voor nodig dan alleen een GPO op een OU zetten...

TS geeft niet aan dat er al een domain wide policy is betreffende wachtwoorden, dus het zou uitstekend moeten kunnen. En anders moet hij daar op OU nivo rekening mee houden qua volgorde van policies.

--- Systeembeheerdersdag --- Voedselintolerantie ---

donderdag 14 juni 2012 13:10

Acties:

Linke Loe

Coach4All schreef op donderdag 14 juni 2012 @ 10:55:
[...]

TS geeft niet aan dat er al een domain wide policy is betreffende wachtwoorden, dus het zou uitstekend moeten kunnen. En anders moet hij daar op OU nivo rekening mee houden qua volgorde van policies.

Er is altijd een domain wide password policy, dat is namelijk standaard zo geregeld in Active Directory. Om gebruik te kunnen maken van password policies die niet domain wide zijn, moet het een en ander gebeuren en ik kan uit de post van TS niet opmaken dat dat ook gedaan is...

donderdag 14 juni 2012 13:19

Acties:

Scaptic

Linke Loe schreef op donderdag 14 juni 2012 @ 10:22:
[...]

Helaas gaat dit niet zomaar op... Een password policy is domain wide, dus moet dit in de default domain policy gedaan worden. Je kan ook granular password settings maken, maar daar is iets meer voor nodig dan alleen een GPO op een OU zetten...

Je vergeet waarschijnlijk even dat dit een Windows 2008 R2 domain is, daar kan je wel per OU password settings configureren. Afhankelijk van de Domain Functional level zijn er meer mogelijkheden:

http://allcomputers.us/windows_server/windows-server-2008-r2---managing-active-directory-with-policies-(part-1)---fine-grained-password-policies.aspx

[ Voor 3% gewijzigd door Scaptic op 14-06-2012 13:21 ]

donderdag 14 juni 2012 13:21

Acties:

brid

Onze excuses voor het ongemak

Linke Loe schreef op donderdag 14 juni 2012 @ 10:22:
[...]

Helaas gaat dit niet zomaar op... Een password policy is domain wide, dus moet dit in de default domain policy gedaan worden. Je kan ook granular password settings maken, maar daar is iets meer voor nodig dan alleen een GPO op een OU zetten...

En gezakt voor je 2008, als hij een 2008 domain functional level draait kan hij gebruik maken van fine grained password policies, per ou

Gebruik in ieder geval ff de ms account lock tools om de bron van je lock te achter halen. Misschien dat de autologon verkeerd staat of dat het een heel andere pc is dan dat je verwacht

DIY NAS, Hoofd PC
Unchain your pc/laptop, buy a SSD!!!!!

donderdag 14 juni 2012 14:32

Acties:

FatalError

Ik heb dit topic verplaatst naar WSS.

If it ain't broken, tweak it!

donderdag 14 juni 2012 14:48

Acties:

Verwijderd

Misschien een optie om de account lockout duration te verlagen.

donderdag 14 juni 2012 16:10

Acties:

Linke Loe

brid schreef op donderdag 14 juni 2012 @ 13:21:
[...]

En gezakt voor je 2008, als hij een 2008 domain functional level draait kan hij gebruik maken van fine grained password policies, per ou

Gebruik in ieder geval ff de ms account lock tools om de bron van je lock te achter halen. Misschien dat de autologon verkeerd staat of dat het een heel andere pc is dan dat je verwacht

En jij bent gezakt voor lezen op de lagere school? Ik schreef toch dat dat kan, maar dat daar iets meer voor nodig is dan alleen een GPO op een OU instellen?

vrijdag 15 juni 2012 16:36

Acties:

Rolfie

Scaptic schreef op donderdag 14 juni 2012 @ 13:19:
[...]

Je vergeet waarschijnlijk even dat dit een Windows 2008 R2 domain is, daar kan je wel per OU password settings configureren. Afhankelijk van de Domain Functional level zijn er meer mogelijkheden:

http://allcomputers.us/windows_server/windows-server-2008-r2---managing-active-directory-with-policies-(part-1)---fine-grained-password-policies.aspx

Volgens mij is dit nog steeds op user basis op op group member ship basis. OU basis wordt volgens mij nog steeds niet ondersteund.

Now that a new fine-grained password policy is created, the Fine-GrainedPSO, the policy can be applied to specific user accounts. To apply this PSO to a user account, perform the following steps:
1.Open the properties of the Fine-GrainedPSO. If necessary, click the Filter button and uncheck the Show Only Attributes That Have Values check box.

2.Scroll down and locate the msDS-PSOAppliesTo attribute and double-click it to open the property pages.

3.Click on the Add Windows Account button to locate users using the Select Users, Computers or Groups window.

4.In the Select Users, Computers or Groups window, type in the name of a user and click OK.