Возможный дубликат:
Какая политика безопасности Win-2003 истекла сроком действия всех паролей и как это произошло?
Большинство наших пользовательских паролей сбрасывались в 16:30 по местному времени в выходные (нерабочий день). Не учетная запись администратора, но в нее входили некоторые группы пользователей с включенной безопасностью, которые на самом деле не являются учетными записями для входа.
Возможно, это был вирус или взлом, но я думаю, что более вероятно, что это был неизвестный акт глупости и невежества.
Какой вид политики или настроек безопасности приведет к одновременному истечению срока действия всех паролей? Учетные записи, которые являются учетными записями входа, настроены на неограниченный срок действия.
Я прошу КОНКРЕТНУЮ информацию о групповой политике или настройках учетной записи Active Directory. Если вы не думаете, что это было вызвано групповой политикой или настройками AD Accont, сообщите об этом. Все сброшенные учетные записи находились в одном подразделении.
Уточнение / исправление: Пароли не менялись, только просрочен. (Это приводит к тому, что удаленные пользователи не могут подключиться, но когда пользователи приходят на сайт, они могут подключаться, используя просроченный пароль).
Дополнительная информация: журнал событий показывает событие SceCli 1704 в критический момент: «Политика безопасности в объектах групповой политики применена успешно».
Сейчас мучительно перебираю настройки групповой политики. Приветствуются конкретные предложения. Я не знаю, как можно применить групповую политику без моего ведома. Приветствуются конкретные объяснения.
перешел к новому вопросу: https://serverfault.com/questions/473320/what-win-2003-security-policy-expired-all-passwords-and-how-did-it-do-it
PS: Здесь есть комментарий: дайте мне знать, и я снова открою это. - voretaq7 ♦ вчера
But no contact information.
PSS: Здесь есть комментарий: Если этот и другие вопросы идентичны, отредактируйте другой, если необходимо, чтобы включить всю соответствующую информацию, и удалите этот. > Но я начал новый вопрос, потому что здесь есть комментарии, говорящие мне, что я должен начать новый вопрос, потому что новый вопрос не идентичен. Если вы не согласны с ними, расскажите, почему они ошибаются. Я в разгаре войны о том, когда следует начинать новые вопросы ???
Посмотрите в своем журнале событий безопасности на контроллере домена событие с идентификатором 628. Если пароли были сброшены кем-то, кроме самого пользователя, это событие должно быть записано для каждого пользователя, чей пароль был сброшен. Подробности должны сообщить вам, кто изменил пароль.
Если срок действия паролей просто истек, вы увидите, что событие с кодом 535 регистрируется, когда затронутый пользователь пытается войти в систему.
Также поищите другие события примерно в тот период времени, когда, по вашему мнению, это произошло. Вы можете найти другие зарегистрированные события, которые дадут вам представление о том, что произошло.