policy

[Zilahy Andra's]

Hi!

Előrebocsájtom, hogy nem vgyok profi a policy-kben, az alábbiak 
MS-manualokból és saját kísérletezésből jönnek.

Gyárfás Péter írta:

> Win2003 servernél hogyan kell beálítani, hogy egy adott usernek ne kelljen
> megfelelnie a komplex jelszó használatának?
> A "default domain policy"-ben be lett állítva a komplex jelszó 
> megkövetelése,
> meg lock out meg ilyenek, de a "tanulo" nevű userenek "tanulo" jelszót 
> szeretnék adni.
> /Ha kérhetem, részletesen irjátok le, ez egylőre homályos téma/

A fentiből feltételezem, hogy angol Win2k3-ad van.

Pl. csinálj egy önálló tárolót a usernek/-eknek, amiben csak az adott 
típusú/szerepű objektumok lesznek (pl. csak a tanuló userek). ->  Jobb 
katt a fa-struktúra gyökerén v. ahova létre akarod hozni és New -> 
Organizational unit -> és nevezd el pl. "Tanulok"-nak. Imho ékezetet 
AD-ben sehol ne használj.

Tedd bele a usert a frissen létrehozott tárolóba, majd a tárolón jobb 
klikk -> Properties -> Group policy fül és Open
Megnyílik a Group Policy Editor. Ebben ugyanazt a fa-struktúrát látod, 
mint az AD-ban. Menj arra az ágra, ami az AD-ban a kérdéses User-t 
tartalmazza és rajta jobb klikk, majd "Create and link a GPO here". Adj 
nevet az új szbálynak, majd Enter. Megjelenik a szabály a usert 
tartalmazó Org. Unit alobjektumaként. Jobb katt rajta, majd "Edit". 
Megnyílik a Group Policy Object Editor, aimben finomhangolhatod a 
szabályt. Innen már egyértelmű: megkeresed a "Computer Config. -> 
Windows Settings -> Security Settings -> Account Policies -> Password 
Policy -> Password must meet..." és beállítod Disabled-re.

Bezárod a Group Policy Object Editor-t, majd a Group Policy 
Management-ben a most módosított szabályon állva jobb oldalt válaszd a 
"Details" fület, majd a GPO Status-t állítsd "Enabled"-re, a szabályon 
jobb klikk és a "Link Enabled" is legyen kipipálva. Lépj ki a "Group 
Policy Editor"-ból, OK-zd le az ablakot, amiből megnyitottad, majd 
próbálj belépni a "tanulo"-val.

Hacsak nem írtam el vmit nagyon, akkor mennie kell - én így csinálnám.

A további finomhangolások, ill. a fa-struktúra testreszabása az AD-ben 
egyéni ízlés kérdése (kiv. a beépített userek ill. a feltelepített 
programok által létrehozott userek/Org. unitok piszkálása -> pl. az 
Exchange kifejezetten allergiás arra, ha az Exch. Domain Servers ill. 
Exch. Enterprise Servers csoportok nem ott vannak, ahová ő tette őket).

Probléma: ha egy tárolóba több usert pakolsz, akkor az adott tároló 
szabálya tudtommal az össze userre vonatkozik. Én még eddig nem találtam 
módot arra, hogy a usereket külön szabályozzam, kivéve, ha mindegyiknek 
egy saját tárolót hozok létre, amiben csak maga van és minden user 
tárolója egy közös tárolóban található. Ekkor a közös tárolón 
beállíthatom mindazt, amit mindenkihez akarok, az egyes userek tárolóin 
pedig az egyéni szabályokat.

Valószínű, hogy egy pár percet várni kell, hogy az új policy életbe 
lépjen, de ez kikerülhető egy gpupdate /force parancs kiadásával a 
szerveren, ekkor rögtön befrissíti a policy-t.

Remélem, tudtam segíteni.

Bye,

Zilahy András
rendszergazda
Vörösmarty Mihály Ének-zenei Nyelvi Általános Iskola és Gimnázium
Budapest - azagy at freemail.hu

--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: http://lista.sulinet.hu/pipermail/techinfo/attachments/20050829/1ebed0bf/attachment.html