Deadly

Das kann ich nur bestätigen, jeder MCSE lernt bis zum erbrechen das du Passwortrichtlinien nur Domänenweit setzen kannst. Wenn du für bestimmte Benutzer andere Passwortrichtlinien benötigst dann müssen diese eine eigene (Sub)Domäne haben. Ende Gelände.

hi,

sag mal ... muss man ( um eine SubDomain) zu setzen einen eigenstaendigen server aufsetzen ?

oder kann man das in der vorhanden domain machen ,. ?

habe das nie gemacht .. deswegen frage ich schnell mal nach .. danke fuer die info

meine frage ist gewesen.

ich setze eine Default Domain Policy mit folgenden Settings

Richtlinie Sicherheitseinstellung

Kontensperrungsschwelle 5 ungültigen Anmeldeversuchen

Kontosperrdauer 5 Minuten

Zurücksetzungsdauer des Kontosperrungszählers 10

sobald ich das gemacht habe .. moechte ich eine OU basteln mit Accounts die nicht davon

betroffen sein sollen.

weiss da einer was ich machen kann .. evtl. Sicherheitsrichlinienvererbung Deaktivieren ?

oder was andere ?

ich wage es nicht einfach so eine Default Policy zu setzen ohne zu wissen was ich ich ausklammern kann.

Hi, will euch ja nicht enttäuschen: Aber Passwortrichtlinien ziehen nur in der Default Domain Policy. Versuche auf einer OU scheitern.

ja, das weiss ich ... nur wie kann ich rechner, oder besser .. useraccounts davor verschonen ?

ich moechte vermeiden das jemand mit accounts quatsch macht.

Hm, hast du deine normalen USER in der selben OU wie die Serveraccounts? Wenn ja, dann schlecht. Dann solltest du deine User in eine seperate OU packen und dort die Policy drauf hängen.

 

Alternativ kann man das Flag "UserCannotChangePassword" an den betreffenden Accounts setzen, dann können für diese Accounts auch keine Kennworte geändert werden.

 

/Edit: zu langsam ;)

hi,

nein, ich habe die serveraccounts nicht in den gleichen OUs wie die useraccounts .. aber ich weiss nicht ob die serveraccounts in die ausnamen gelangen wenn ich eine default domain policy setze ... man kann diese einstellung nur in der default domain policy angeben ..

Richtlinie Sicherheitseinstellung

Kontensperrungsschwelle 0 ungültigen Anmeldeversuchen

Kontosperrdauer Nicht verfügbar

Zurücksetzungsdauer des Kontosperrungszählers Nicht verfügbar

damit sind alle accounts der domain betroffen .. ich habe nur angst, das wenn einer schlimmes machen moechte und er nen account eines serverusers kennt .. er mit falscheingabe einen kompletten server lamlegen kann.

deswegen wollte ich diese accounts ausklammern ... aber ich kanns nicht testen .. da hier keine testumgebung vorhanden ist.

also wenn ich recht verstehe ...

ich setze eine default domain policy die natuerlich alle accounts betrifft ... diese werden in den maschinensettings bestimmt .. also .. nach 5 mal falscheingabe des passworts soll folgendes passieren !

Kontensperrungsschwelle 5 ungültigen Anmeldeversuchen

Kontosperrdauer 10 minuten

Zurücksetzungsdauer des Kontosperrungszählers 5 minuten

ist es den moeglich accounts via OU in ausnamen zu setzen ?? da es sich ja bei den folgenden einstellungen um rechner einstellungen handelt.

das ganze muesste ich auf OU ebene wieder auf personen bezogene logins gesetzt werden .. oder besser ,, nicht jeder account soll davon betroffen sein .. da es sich ja um eine default domain, und nicht um eine OU richtlinie handelt ... ich raffs noch nicht.

hallo zusammen,

wir arbeiten hier mit einer windows 2003 domain und sollen eine passwort policy ( default domain policy ) setzen.

mit der wirkung, das wenn man das passwort 5mal falsch eingegeben hat der account des users gesperrt wird.

wir haben natuerlich auch serveraccounts die niemals einen solchen change abbekommen duerfen .. das heisst .. wenn ein user diesen account-namen kennen wuede .. koennte er ... wenn er gemein ist diesen gleich 5 mal falsch eintippen und wir haetten ein grosses problem.

meine frage ist:

kann man useraccounts aus dieser policy aushebeln ? also mit dem haken ( richtlinien vererbung deaktivieren ) ?

ich habe folgendes vor .. eine OU basteln und da accounts reinstecken die nicht davon betroffen werden sollen .. dann den haken ( richtlinien vererbung deaktivieren ) setzen und hoffen das es klappt.

hat schon jemand erfahrungen damit gemacht ? .. wir haben leider kein testlab und ich kann nur an der domain selbst regeln setzen ..

danke fuer die infos

habs gefunden !

---------------- Druckerzuweisung per Computername -------------------

@echo off

rem ** benötigtes Tool: con2prt.exe aus dem ResKit, oder dem ZAK

rem ** Allgemeine Hinweise:

rem ** Computernamen ausfindig machen und Drucker wählen:

rem ** mit der Anweisung ":~0,3" werden nur die ersten 3 Zeichen

rem ** der Variable %computername% ausgewertet

rem ** die ersten 7 Zeichen auslassen, dann alle berücksichtigen

rem ** %computername:~7% gibt das Ergebnis "89ABCDEF0"

rem ** erst mal alle vorh. Drucker löschen, damit keine falschzugeordneten Drucker

rem ** mehr mit den Rechnern verbunden sind

con2prt /f

rem ** jetzt die Abfrage nach den Computernamen,

rem ** mit /i wird Groß-/Kleinschreibung ignoriert

if /i %computername:~0,3%==401 goto Drucker1

if /i %computername:~0,3%==402 goto Drucker2

if /i %computername:~0,3%==403 goto Drucker3

goto END

:Drucker1

rem ** jetzt Standarddrucker für diesen Raum festlegen

con2prt /cd \\dednsdc1\ist1

goto end

:Drucker2

con2prt /cd \\dednsdc2\ist2

goto end

:Drucker3

con2prt /cd \\dednsdc3\ist3

goto end

:end

---------------- EOF: Druckerzuweisung per Computername -------------------

---------------- IP Adresse als Variable setzen -------------------

rem ** Hiermit erstellen wir uns eine eigene Variable => %ipadress% die dann **

rem ** im weiteren Verlauf des Scriptes zur Abfrage benutzt werden kann **

for /f "Tokens=2 Delims=[] skip=1" %%i in ('ping -n 1 %computername%') do set IPAdress=%%i

---------------- EOF: IP Adresse als Variable setzen -------------------

hallo zusammen,

folgende frage kann ich nicht beantworten ..

wir haben zb. 3 lokationen mit beschreibungen fuer drucker

DDLJ001 fuer Duesseldorf Laserjet 001

KSLJ001 fuer Kassel Laserjet 001

BOLJ001 fuer Bochum Laserjet

damals unter novell konnte ich verschiedne trees bei der anmeldung nutzen .. und habe auch immer den richtigen drucker der abteilung bekommen ...

das heisst .. egal wo mein notebook eingelogt wird ( lokation )

moechte ich den passenden abteilungsdrucker bekommen .. weiss da jemand ob und wie das moeglich ist ?

moechte ich aber unter W2K ADS sowas machen kann ich mir nur vorstellen das es ein profil ist .. wie beim novell ..

ein kolege sagte mir .. es sei unter Eigenschaften von Active Directory-Standorte und Dienste zu machen .. ich kann da nur nicht sehen was ich definieren kann .. kennt das jemand ?

um jede hilfe waehre ich sehr dankbar ..

hiho,

danke fuer die schnelle antwort ...

die switch ist managebar .. die portstatistik sagt nichts aus, so sagen das unsere netzwerker.

kann da selber nicht draufschauen .. glaube also dem was man sagt ...

hallo zusammen,

seit einiger zeit ( 2-3 monate ) haben wir in unserem netz ein sporadisch auftretendes problem das ich einfach nicht verstehe.

printserver = w2k-englisch + SP4 mit 128 eingerichteten printern in verschiedenen vlans.

die hardware ( drucker ) sind vorwiegend HP Laserjets 4000N, 4050N etc.

Verhalten:

teilweise braucht es mehrere Minuten, bis ein von einem PC abgeschickter druckjob vom drucker verarbeitet wird.

wenn der drucker vorher angepingt wird ( Pingstatisktik: keine Fehler), wird der druckjob ohne erkennbare verzögerung verarbeitet.

auf bestimmte zeiten lässt sich dieses verhalten nicht eingrenzen.

auf bestimmten pc's lässt es sich nicht eingrenzen.

Umgebung:

- der drucker ist an switch dec 3500 angeschlossen.

- andere drucker an dieser switch machen keine probleme

Durchgeführte Massnahmen:

Printserver:

- das log des printservers weist keine fehlermeldungen in bezug auf drucker auf.

- der netzwerkport des druckers weist keine fehlermeldung auf

- patchkabel in dem etagenverteiler wurden getauscht

- patchkabel vom bodentank zum drucker wurde getauscht.

- aktuelle treiber wurden installiert ( printserver -- auch lokal auf client)

an diesem WE habe ich mal zum test nen dauerping gemacht um zu sehen ob es packetprobleme gibt !

Ping statistics for 172.25.179.22:

Packets: Sent = 726620, Received = 726498, Lost = 122 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 297ms, Average = 18ms

auch diese sind 100% OK ....

das ist ein beispiel fuer 1nen drucker .. es sind aber nun immer mehr printer mit diesem problem .. kennt jemand das geschilderte problem ??

drucken dauert bis zu 10 minuten .. oder es werden nur 4 - 64k verarbeitet .. und weiter geht nichts ... ( der druckerauftrag bleibt haengen ) ...

das eigenartige .. wenn ich den drucker namentlich loesche .. danach den TCP port loesche und wieder neu anlege .. dann klappt fuer eine sehr kurze zeit ... kann das eine loesung sein ???

ich hoffe das es jemanden gibt der das gleiche problem hat und mir helfen kann .. ich moechte den hardcorebroadcast vermeiden wenn ich mal 128 printer dauerpingen muss damit die user drucken koennen ;))

please help me ..

Original geschrieben von Grazio

Hallo,

vielleicht hillft Dir ja das hier weiter: http://www.mcseboard.de/showthread.php?s=&threadid=39472

Da wurde sowas ähnliches schonmal besprochen...

hoi,

danke fuer die info .. aber das geht auch nicht .. da der client die messagebox bekommt .. das ist ja das problem ...

mit

net time /setsntp:<servername>

bekomme ich die box auch noch ..

hmm .. ich finde auch irgendwie keinen ansatz was mich weiterbringen kann ;(

hallo zusammen,

ich habe da mal folgende frage .. und zwar nutze ich hier auf unserer ADS einen KIX login script fuer multi anmeldungen ...

dazu ghoert natuerlich auch die batch datei fuer mit dem pfad zur kixtext ..

in der batch habe ich folgendes miteingetragen

net time \\dednsdhcp1 /set /yes

das klappt auch alles .. wie auch sonst .. allerdings gibt es user die evtl. am datum gedreht haben .. und die bekommen beim anmelden folgende messagebox ( SIE KOENNEN AUFGRUND FOLGENDEN FEHLERS NICHT ANGEMELDET WEDEN : ES BESTEHT EIN ZEITUNTERSCHIED ZUM SERVER )

ich habe nun mal at commands nachgesehen und net time .. aber ich finde nix damit bei der anmeldung das date gleich mitgesetzt wird .. kennt jemand das problem ? oder besser .. weiss jemand wie ich auch das datum uebergeben kann .. damit ich dieses meldung nicht mehr bekomme ? ...

vielen dank fuer die hilfe