В версии Active Directory, представленной в Windows Server 2000 можно было создать только одну политику паролей на весь домен. Данная политика настраивалась в рамках стандартной политики  Default Domain Policy. В том случае, если администратор назначает новую GPO с иными настройками паролей на OU, клиентские CSE (Client Side Extensions), игнорировали такие политики.  Естественно, такой подход не всегда удобен, и чтобы обойти такое ограничение, администраторам приходилось идти на различные ухищрения (дочерние домены и леса, фильтры и т...

По умолчанию, любой пользователь домена имеет право входить на любой компьютер домена, включая сервера. Это опасная ситуация может создать благоприятные условия для проведения различных атак. Чтобы предотвратить подобного рода атаки можно ограничить доступ к серверам по определенным протоколам из пользовательского сегмента сети, но лучше полностью запретить обычным пользователям интерактивный вход на сервера. В домене Active Directory управлять правами локального входа в систему можно с помощью...