В один прекрасный момент администратор решает убедиться, что политика блокировки пользователей работает на всех контроллерах домена. На контроллере домена запускается rsop.msc и выдаёт администратору ожидаемую картину:
Но на втором сервере администратора подстерегает лёгкий шок:
Стоит сразу отметить, что все сервера находятся в «ou=Domain Controllers» и на них распространяются одинаковые политики. ОС контроллеров: 2008 R2.
Предлагаю сделать из этого маленькую пятничную загадку.
Первая мысль, о том, что каким-то образом не применилась политика, сразу отметается выдачей сводных данных по команде
gpresult /R
набор применённых политик для всех контроллеров одинаковый.
Окончательно подрывает мораль то, что команда:
gpresult /Z /S ad2
ничего не упоминает о разделе «Политика блокировки учётной записи». В то же время для первого контроллера
gpresult /Z /S ad1
перечисляет раздел «Политика блокировки учётной записи» со всеми параметрами.
Проверьте свои контроллеры — быть может Вы удивитесь результату.
Самое интересное, что политика работает! Если попытаться заданное количество раз осуществить не успешный вход через второй контроллер (например с помощью LDAP bind), то пользователь блокируется.
Предлагаю сообществу в комментариях изложить свои версии причин происходящего, а также предложения по методике проверки работоспособности политики блокировки пользователя.
Я же обязуюсь к вечеру в любом случае выложить ответ на этот вопрос.
Автор: Slipeer