Toon posts:

[Win2K] Account lockout policy niet wijzigbaar

Pagina: 1
Acties:

donderdag 1 juli 2004 16:35

Acties:

Verwijderd

Topicstarter
Hoi,

Ik heb een Windows 2000 Active Directory domein (meerdere DC's, allen SP4, onderverdeeld in meerdere sites) bij een klant met het volgende probleem. Op dit domein is een zgn. Domain Security Policy gekomen (die zoals bekend over alle accounts van toepassing is) met daarin een Password Policy en Account Lockout Policy gespecificeerd.

In deze Account Lockout Policy staat ingesteld dat er een Lockout Treshold van 5 van toepassing is. Dit betekent dus dat hij na 5 foutieve wachtwoorden het account locked voor een periode van 30 minuten.

Dit getal van 5 wil ik verhoogd hebben maar dit krijg ik dus niet voorelkaar. Normaal gesproken verander je dit via de Domain Security Policy (binnen Administrative Tools op de DC) en de Domain Controller Security Policy. Echter, wat ik hier ook instel (heb hier momenteel de Account Lockout Treshold op 999 staan), hij trekt zich er niks van aan.

Als ik vervolgens met het commando 'NET ACCOUNTS' de Account Lockout Policy check, dan blijft hij op 5 staan.

Iemand een idee hoe ik in dit geval mijn Lockout Treshold kan verhogen?

Afbeeldingslocatie: http://www.jw-racing.nl/public/lockout.jpg

Thanks!

donderdag 1 juli 2004 16:41

Acties:
  • TheZoo
  • Registratie: Maart 2004
  • Laatst online: 20-02 14:07

TheZoo

Animals Behind Bars

Het duurt kan wel tot een half uur duren voordat een policy refreshed wordt. Houd je hier rekening mee. Je kunt een policy refresh forcen m.b.v. het secedit commando:
secedit /refreshpolicy machine_policy /enforce

We may be humans, but we are still animals.
We are immortal for a limited time.

donderdag 1 juli 2004 16:45

Acties:
  • TheZoo
  • Registratie: Maart 2004
  • Laatst online: 20-02 14:07

TheZoo

Animals Behind Bars

TheZoo schreef op 01 juli 2004 @ 16:41:
Het kan wel tot 90 minuten (default instelling) duren voordat een policy refreshed wordt. Houd je hier rekening mee. Je kunt een policy refresh forcen m.b.v. het secedit commando:
secedit /refreshpolicy machine_policy /enforce
edit:
Group policy refresh interval gecorrigeerd.
Whoops, op quote gedrukt ipv edit |:(

[ Voor 6% gewijzigd door TheZoo op 01-07-2004 16:46 ]

We may be humans, but we are still animals.
We are immortal for a limited time.

donderdag 1 juli 2004 16:47

Acties:

Verwijderd

Topicstarter
Yep I know :) maar ik kan wachten tot ik een ons weeg (of dat commando 10x geven) maar hij voert het niet door...

donderdag 1 juli 2004 16:49

Acties:
  • TheZoo
  • Registratie: Maart 2004
  • Laatst online: 20-02 14:07

TheZoo

Animals Behind Bars

Een andere policy die overruled?

We may be humans, but we are still animals.
We are immortal for a limited time.

donderdag 1 juli 2004 16:52

Acties:

Verwijderd

Topicstarter
TheZoo schreef op 01 juli 2004 @ 16:49:
Een andere policy die overruled?
Ik zou niet weten welke :? buiten de Domain Security Policy en Domain Controller Security Policy. We hebben nog de Local Security Policy maar deze is verder niet geconfigureerd en wordt bovendien door de Domain Policies overruled...

donderdag 1 juli 2004 16:54

Acties:
  • TheZoo
  • Registratie: Maart 2004
  • Laatst online: 20-02 14:07

TheZoo

Animals Behind Bars

Verwijderd schreef op 01 juli 2004 @ 16:52:
[...]

Ik zou niet weten welke :? buiten de Domain Security Policy en Domain Controller Security Policy. We hebben nog de Local Security Policy maar deze is verder niet geconfigureerd en wordt bovendien door de Domain Policies overruled...
Wellicht dat een voorganger het een en ander heeft zitten instellen?

We may be humans, but we are still animals.
We are immortal for a limited time.

donderdag 1 juli 2004 16:56

Acties:
  • Devster
  • Registratie: Februari 2001
  • Laatst online: 14-08-2025

Devster

-=+CLOUDBARISTA+=-

Gebruik dan de GPMC (of een andere tool) om een RSOP te genereren (Resultant Set of Policies)

De GPMC is hier bij Microsoft te downloaden.

"The problem with internet quotes is that you can't always depend on their accuracy" ~Abraham Lincoln, 1864.

donderdag 1 juli 2004 19:20

Acties:

Verwijderd

Topicstarter
Zal het morgen (of binnenkort) eens testen, bedankt voor de tip. :)

donderdag 1 juli 2004 21:13

Acties:

Verwijderd

Resultant set of Policies kun je (voorzover mij bekend) wel draaien op een windows 2000 client maar alleen als je een windows 2003 domein hebt. De service die die de "resultant set" afhandelen bestaan in windows 2000 server niet.

Gpresult uit de resource kit zou je wel op de client kunnen draaien.

vrijdag 2 juli 2004 00:58

Acties:

Verwijderd

voor de gpmc heb je een xp bak nodig of win2k3. je kan het wel gebruiken op een win2k domain.

vrijdag 2 juli 2004 09:29

Acties:

Verwijderd

Verwijderd schreef op 02 juli 2004 @ 00:58:
voor de gpmc heb je een xp bak nodig of win2k3. je kan het wel gebruiken op een win2k domain.
Jawel, maar dan kun je er Group Policy Modeling of RSoP nog niet mee draaien, dan heb je een 2003 domein nodig.

vrijdag 2 juli 2004 10:36

Acties:
  • Devster
  • Registratie: Februari 2001
  • Laatst online: 14-08-2025

Devster

-=+CLOUDBARISTA+=-

Probeer dan gpresult.exe uit de Windows 2000 Server Resource Kit.

"The problem with internet quotes is that you can't always depend on their accuracy" ~Abraham Lincoln, 1864.

vrijdag 2 juli 2004 13:29

Acties:
  • Tylen
  • Registratie: September 2000
  • Laatst online: 08:49

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

Kijk eens naar de policy die op je site staat.

Dus Acitve Directory Sitess en Services en dan de eigenschappen van je site.

“Choose a job you love, and you will never have to work a day in your life.”

vrijdag 2 juli 2004 17:10

Acties:

Verwijderd

Topicstarter
Ik zal het checken, bedankt voor alle tips so far!

maandag 5 juli 2004 10:31

Acties:

Verwijderd

Topicstarter
Gechecked met gpresult.exe:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

===============================================================


The computer received "Registry" settings from these GPOs:

        Local Group Policy


===============================================================
The computer received "Security" settings from these GPOs:

        Local Group Policy
        Default Domain Controllers Policy


===============================================================
The computer received "EFS recovery" settings from these GPOs:

        Local Group Policy

Hij krijgt dus de Local Group Policy en de Default Domain Controllers Policy over zich heen. Met gpedit.msc de Local Group Policy gechecked maar deze stond op een Account Lockout Treshold van 999 pogingen. Tevens de Default Domain Controllers Policy gecontroleerd en deze stond eveneens op 999 mislukte logins voordat hij het account mag locken.

In de praktijk blijft het echter op 5 staan! Wat ik ook doe.

Begin een beetje uit ideeën te raken...

maandag 5 juli 2004 12:09

Acties:
  • Devster
  • Registratie: Februari 2001
  • Laatst online: 14-08-2025

Devster

-=+CLOUDBARISTA+=-

Dergelijke settings kun je alleen in de Default Domain policy maken (dus op Domain Niveau). Op andere niveau's zal deze niet werken. De Default Domain Controller policy staat op de Domain Controllers container. Je settings worden dus genegeerd. Probeer op het hoogste niveau deze settings te zetten.

Zie o.a. http://support.microsoft....spx?scid=kb;EN-US;Q269236

"The problem with internet quotes is that you can't always depend on their accuracy" ~Abraham Lincoln, 1864.

maandag 5 juli 2004 13:26

Acties:

Verwijderd

Topicstarter
Inderdaad, bedankt voor de KB link trouwens. Ik heb het gechecked maar nergens staat Block Policy Inheritance aangevinkt en bovendien staat in mijn Default Domain Policy het aantal pogingen op 999 (en geen 5).

Desondanks trekt hij zich er NIKS van aan. :(

Hoop dat men nog tips heeft, dank in ieder geval. :)

maandag 5 juli 2004 15:37

Acties:
  • Tylen
  • Registratie: September 2000
  • Laatst online: 08:49

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

Zoals eerder aangegeven je SITE policy.
Die is echt HOGER als je DOMAIN policy.

“Choose a job you love, and you will never have to work a day in your life.”

maandag 5 juli 2004 16:49

Acties:
  • TheZoo
  • Registratie: Maart 2004
  • Laatst online: 20-02 14:07

TheZoo

Animals Behind Bars

Geen meldingen in de eventlogs?

We may be humans, but we are still animals.
We are immortal for a limited time.

maandag 5 juli 2004 16:53

Acties:

Verwijderd

Topicstarter
Jeroen_Tielen schreef op 05 juli 2004 @ 15:37:
Zoals eerder aangegeven je SITE policy.
Die is echt HOGER als je DOMAIN policy.
Uhm ja... je bedoelt de properties van de site > tabblad Group Policy? (in AD Sites and Services). Hier staat geen policy.

maandag 5 juli 2004 17:11

Acties:

Verwijderd

Topicstarter
Ennuh, passwordpolicies worden in een domainpolicy aangegeven en niet op OU niveau.

[ Voor 4% gewijzigd door Verwijderd op 05-07-2004 17:13 ]

dinsdag 6 juli 2004 16:17

Acties:
  • Devster
  • Registratie: Februari 2001
  • Laatst online: 14-08-2025

Devster

-=+CLOUDBARISTA+=-

Je hebt toevallig niet het User en of Computer gedeelte uitgeschakeld voor de Default Domain Policy? Ik zie de Default Domain Policy niet terugkomen in GPResult namelijk.

[ Voor 27% gewijzigd door Devster op 06-07-2004 16:17 ]

"The problem with internet quotes is that you can't always depend on their accuracy" ~Abraham Lincoln, 1864.

dinsdag 6 juli 2004 16:23

Acties:
  • luckyme_
  • Registratie: Mei 2000
  • Niet online

luckyme_

Jeroen_Tielen schreef op 05 juli 2004 @ 15:37:
Zoals eerder aangegeven je SITE policy.
Die is echt HOGER als je DOMAIN policy.
Onzin. Local, site, domain, OU is de volgorde.

Zaken als account lockout kunnen alleen in een GPO op domain niveau worden geregeld, zoek eens uit waarom die niet wordt verwerkt.

dinsdag 6 juli 2004 19:51

Acties:
  • TheZoo
  • Registratie: Maart 2004
  • Laatst online: 20-02 14:07

TheZoo

Animals Behind Bars

Devster schreef op 06 juli 2004 @ 16:17:
Je hebt toevallig niet het User en of Computer gedeelte uitgeschakeld voor de Default Domain Policy? Ik zie de Default Domain Policy niet terugkomen in GPResult namelijk.
Heel scherp opgemerkt!

We may be humans, but we are still animals.
We are immortal for a limited time.

woensdag 7 juli 2004 14:40

Acties:

Verwijderd

Topicstarter
Devster schreef op 06 juli 2004 @ 16:17:
Je hebt toevallig niet het User en of Computer gedeelte uitgeschakeld voor de Default Domain Policy? Ik zie de Default Domain Policy niet terugkomen in GPResult namelijk.
Nee :), goeie idd maar had het al gechecked.

Het vreemde is echter dat als ik gpresult.exe in een ander AD domein draai (ons eigen) ik ook niet die Default Domain Policy terug zie komen...

Kan iemand eens een gpresult output posten zoals het zou moeten zijn? :?

[ Voor 8% gewijzigd door Verwijderd op 07-07-2004 14:41 ]

woensdag 7 juli 2004 16:52

Acties:

Verwijderd

Topicstarter
Is het ook mogelijk deze Default Domain Security Policy compleet te verwijderen en deze door een nieuwe te vervangen? :?

vrijdag 9 juli 2004 01:31

Acties:
  • TheZoo
  • Registratie: Maart 2004
  • Laatst online: 20-02 14:07

TheZoo

Animals Behind Bars

Verwijderd schreef op 07 juli 2004 @ 14:40:
[...]
Kan iemand eens een gpresult output posten zoals het zou moeten zijn? :?
Op mijn server thuis:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

The computer received "Registry" settings from these GPOs:

        Local Group Policy
        Default Domain Policy


===============================================================
The computer received "Security" settings from these GPOs:

        Default Domain Policy
        Default Domain Controllers Policy


===============================================================
The computer received "EFS recovery" settings from these GPOs:

        Local Group Policy
        Default Domain Policy

Bij mij staat de Default Domain Policy er wel tussen. Lijkt er toch op dat er iets niet goed is met jouw DDP.

Zoals ik al eerder vroeg: zie je geen meldingen in je eventlog? Ook als die er niet zijn, meld het dan even.

Er schiet me nog wat te binnen: kijk eens naar de rechten die de policy heeft. Authenticated Users hebben bij mij (aangezien ik er (nog) niet mee geknoeid heb >:), is dit dus de standaard instelling) Read en Apply Policy rechten.
Met andere woorden, je moet wel de rechten hebben om de policy te kunnen lezen, anders kun je hem natuurlijk nooit krijgen.

We may be humans, but we are still animals.
We are immortal for a limited time.

vrijdag 9 juli 2004 01:33

Acties:
  • TheZoo
  • Registratie: Maart 2004
  • Laatst online: 20-02 14:07

TheZoo

Animals Behind Bars

Verwijderd schreef op 07 juli 2004 @ 16:52:
Is het ook mogelijk deze Default Domain Security Policy compleet te verwijderen en deze door een nieuwe te vervangen? :?
Moet volgens mij gewoon mogelijk zijn. Wat misschien verstandiger is, is om hem te disablen, en dan er een nieuwe naast zetten.

We may be humans, but we are still animals.
We are immortal for a limited time.

vrijdag 9 juli 2004 14:30

Acties:
  • Devster
  • Registratie: Februari 2001
  • Laatst online: 14-08-2025

Devster

-=+CLOUDBARISTA+=-

Er schiet me nog wat te binnen: kijk eens naar de rechten die de policy heeft. Authenticated Users hebben bij mij (aangezien ik er (nog) niet mee geknoeid heb >:), is dit dus de standaard instelling) Read en Apply Policy rechten.
Met andere woorden, je moet wel de rechten hebben om de policy te kunnen lezen, anders kun je hem natuurlijk nooit krijgen.
Read niet, "Apply Policy" wel.

"The problem with internet quotes is that you can't always depend on their accuracy" ~Abraham Lincoln, 1864.

maandag 12 juli 2004 15:23

Acties:
  • Muppet
  • Registratie: Maart 2001
  • Laatst online: 10-09-2024

Muppet

GT: Beestig

Je Domain controllers krijgen alleen de default domain controller policy. Hierin kan je instellen wat je wil maar dat pikt hij niet. Account policies mag je maar 1 keer per domain instellen en alleen op de root van je domain. Hij zal dus de policies van je default Domain policy waarschijnlijk nog pakken.

http://support.microsoft....aspx?scid=kb;EN-US;255550

kijk hier eens of je daar wat aan hebt.

There is no art to find the minds construction in the face

dinsdag 13 juli 2004 17:15

Acties:

Verwijderd

Topicstarter
TheZoo schreef op 09 juli 2004 @ 01:31:
Er schiet me nog wat te binnen: kijk eens naar de rechten die de policy heeft. Authenticated Users hebben bij mij (aangezien ik er (nog) niet mee geknoeid heb >:), is dit dus de standaard instelling) Read en Apply Policy rechten.
Met andere woorden, je moet wel de rechten hebben om de policy te kunnen lezen, anders kun je hem natuurlijk nooit krijgen.
FOKKING HELL, dat ik daar nooit zelf aan gedacht heb, een simpel rechtenprobleempje. }:O :o

Net gewijzigd, policy aangepast en voila, in notime de account lockout policy gewijzigd. :*)

Nu hopen dat hij de instellingen ook behoud maar tot nu toe lijkt het goed. Allen hartelijk bedankt voor de vele nuttige tips. Wist natuurlijk al het eea. op dit gebied maar weer wat dingetjes erbij geleerd ook. _/-\o_

woensdag 14 juli 2004 15:51

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

Verwijderd schreef op 13 juli 2004 @ 17:15:
[...]

FOKKING HELL, dat ik daar nooit zelf aan gedacht heb, een simpel rechtenprobleempje. }:O :o

Net gewijzigd, policy aangepast en voila, in notime de account lockout policy gewijzigd. :*)

Nu hopen dat hij de instellingen ook behoud maar tot nu toe lijkt het goed. Allen hartelijk bedankt voor de vele nuttige tips. Wist natuurlijk al het eea. op dit gebied maar weer wat dingetjes erbij geleerd ook. _/-\o_
Wat heb je dan precies toegevoegd? De computeraccount van de server?
Ik heb namelijk hetzelfde probleem, maar dan met password policy.

[ Voor 6% gewijzigd door Flyduck op 14-07-2004 15:52 ]

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

woensdag 14 juli 2004 18:56

Acties:
  • TheZoo
  • Registratie: Maart 2004
  • Laatst online: 20-02 14:07

TheZoo

Animals Behind Bars

Flyduck schreef op 14 juli 2004 @ 15:51:
[...]
Wat heb je dan precies toegevoegd? De computeraccount van de server?
Ik heb namelijk hetzelfde probleem, maar dan met password policy.
TheZoo schreef op 09 juli 2004 @ 01:31:
[...]
Authenticated Users hebben bij mij Read en Apply Policy rechten.
Met andere woorden, je moet wel de rechten hebben om de policy te kunnen lezen, anders kun je hem natuurlijk nooit krijgen.

We may be humans, but we are still animals.
We are immortal for a limited time.

donderdag 15 juli 2004 08:54

Acties:

Verwijderd

Topicstarter
Yup, Authenticated Users hadden geen Read en geen Apply rechten. Hoe het kan weet ik niet :? maar het was wel de oplossing. :)

woensdag 7 december 2005 16:49

Acties:
  • Vampy719
  • Registratie: Maart 2002
  • Laatst online: 04-02 15:37

Vampy719

TheZoo schreef op vrijdag 09 juli 2004 @ 01:31:
Er schiet me nog wat te binnen: kijk eens naar de rechten die de policy heeft. Authenticated Users hebben bij mij (aangezien ik er (nog) niet mee geknoeid heb >:), is dit dus de standaard instelling) Read en Apply Policy rechten.
Met andere woorden, je moet wel de rechten hebben om de policy te kunnen lezen, anders kun je hem natuurlijk nooit krijgen.
Waar kan ik de rechten die de policy heeft vinden enzo aanpassen. Heb namelijk het zelfte probleem alleen in win2003 en ik denk dat het hier mee te maken heeft(de rechten hebben om de policy te kunnen lezen) .

Everything thats has a beginning has an end

woensdag 7 december 2005 23:01

Acties:
  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 18-02 14:25

Taigu

Vampy : Met de gpmc is het het handigst imho.. www.google.com !

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

donderdag 8 december 2005 15:42

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 19-02 13:21

mutsje

Certified Prutser

Handigste is inderdaad de GPMC. Deze is gratis bij microsoft te downloaden en je hoeft je server niet te rebooten. Dan open je de gpmc en klik je op de policy die je wilt bekijken dan in het rechter venster kun je de rechten zien.

[ Voor 72% gewijzigd door mutsje op 08-12-2005 15:44 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq