Я заметил в своей доменной среде; старый пароль администратора (до истечения срока действия пароля) .. Клиентские машины кэшировали старый пароль и имеют возможность обойти новый пароль, введя старый ..?
В принципе; Я использую домен с поддержкой UAC, которому требуется пароль администратора для продолжения работы с основными функциями; установки и тому подобное. Пароль учетной записи администратора был изменен в связи с истечением срока действия пароля учетной записи. Случайно другой администратор набрал старый пароль и все же обошел UAC с помощью того, что должно было быть неправильным паролем.
Это ошибка среды? или что-то, что нужно изменить в настройках на стороне сервера?
Не совсем понятно, какова ваша ситуация, но я вижу две возможности.
В этом случае он работает так, как задумано. Windows запомнит последние X входов в систему в том случае, если требуется доступ к машине, но контроллер домена недоступен. Думаю, по умолчанию пять, но вы можете отключить эту функцию с помощью GPO.
Это под Конфигурация компьютера -> Windows -> Настройки -> Настройки безопасности -> Местная политика -> Параметры безопасности и политика называется Network Access: Do not allow storage of credentials or .NET Passports for network authentication. Включите его, и больше никакого кеширования паролей.
Тем не менее, это вызовет проблемы, если вам понадобится доступ к машине, которая потеряла связь с доменом, поэтому держите эти пароли учетных записей локального администратора под рукой.
Также работает как задумано - срок действия пароля распространяется только на домен аккаунты, а не локальные.
К счастью, с этим также можно справиться с помощью объектов групповой политики. Вы хотите отключить или переименовать учетную запись локального администратора и смените пароль, что тоже возможно. Ниже показано расположение различных объектов групповой политики по умолчанию для настройки учетной записи локального администратора.
В редакторе объектов групповой политики щелкните Конфигурация компьютера, щелкните Параметры Windows, щелкните Параметры безопасности, щелкните Локальные политики, а затем щелкните Параметры безопасности.
Я считаю, что проще всего отключить учетную запись администратора с помощью GPO и развернуть новую учетную запись с локальными разрешениями с помощью GPP (Local Users and Groups под Computer Preferences, Control Panel), но то, как вы это сделаете, зависит от вас.