各位先進
我的AD群組原則管理
定義的密碼原則是
密碼必須符合複雜性需求/已啟用
密碼最長使用期限/90天
密碼最短使用期限/1天
最小密碼長度/10個字元
前幾天用的好好的但是最近會跳成我之前的設定
密碼必須符合複雜性需求/已停用
密碼最長使用期限/42天
密碼最短使用期限/0天
最小密碼長度/6個字元
原本我以為是更新的問題所以我在使用者端下gpupdate/force 強迫更新,但結果一樣
有時會跳正常的有時就會跳不對的。我的AD比較老舊是Win2008 R2
各位有遇過同樣的問題嗎?
已邀請的邦友 {{ invite_list.length }}/5
你的 AD 是不是有多台 Domain Controller?
聽起來你 DC 的 SYSVOL 沒有同步, 所以新的 GPO 只寫入其中一台, 沒有將第二台的舊版覆蓋掉; 然後你的用戶又剛好登入的時候, 是連上第二台的 SYSVOL, 所以抓到舊的 GPO
DC 之間失去同步複寫是常見的問題, 也是管理員每天都要檢查的問題;
若此題的根因是因此造成的話, 必須先修復你的複寫, GPO 才能夠同步.
三台機器複寫確實失敗,因為在台北新竹高雄。但是開啟三台群組原則管理都是一致對的。這樣沒用嗎?
如果處理不了覆寫失敗的問題,可否手動用COPY的方式把整個SYSVOL下的目錄複製過去
假設你有 A,B,C 三台 DC, 你可以用檔案總管分別去看:
\\<DC-A>\SYSVOL
\\<DC-B>\SYSVOL
\\<DC-C>\SYSVOL
然後比對它們底下的 SYSVOL 檔案內容是否相同?
至於你分別在這三台上面執行 GPOedit 都看到相同內容, 那是因為他們都只會去抓同一台 DC 底下的 SYSVOL, 而不是抓自己底下的 SYSVOL
但是你無法控制 Client 電腦要去抓哪一台 DC, 除非你有做 Site 切割.
手動直接拷貝檔案是最不建議的方案, 因為一旦手動覆蓋過了, 以後即使複寫修好, 他也不會自動覆蓋了, 永遠都保留你手動的那個版本.
複寫功能是在 DFS-R 裡面, 如果你不會檢修 DFS-R 功能的話, 最快的方法是: 找出目前誰是 FSMO 角色? 然後把其他的兩台 DC 都降級, 只留下一台 DC, 等待 24hr 之後, 再把已經降級的兩台重新升級成 DC, 讓他自己重建複寫功能.
iThome鐵人賽
看影片追技術