cros69 10 Geschrieben 13. Dezember 2006 Melden Teilen Geschrieben 13. Dezember 2006 Hallo, 2 Fragen: 1) Gibt es eine Gruppenrichtlinie mit der ich den Hacken "Kennwort läuft nie ab" am lokalen Administrator oder auf einem lokalen Benutzer deaktivieren kann, außer das maximale Kennwortalter auf 0 zu setzen. (hmm.. wahrscheinlich ist es das) 2) Wenn ich eine GPO in einer AD Domäne (z.B: default domain policy) setze, wirkt dann diese auch auf lokale Benutzer wie z.B.: lokaler Administrator oder lokaler Benutzer der jeweiligen Arbeitsstation? 2a) Ich möchte einfach mittels GPO das maximale Kennwortalter der lokalen Konten auf z.B.: 365 Tage setzen und die Domänenkonten auf 90 Tage. Uns steht ein SOX-Audit bevor und eine der Forderungen der Auditoren lautet. a) Kein Konto darf auf "Kennwort läuft nie ab" stehen b) Jedes domänenkonto und jedes lokale Konto muss 1 x pro Jahr das Passwort ändern. Welche Gefahren kann so eine jährliche Änderung mit sich bringen? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 13. Dezember 2006 Melden Teilen Geschrieben 13. Dezember 2006 Du könntest eine separate Gruppenrichtlinie auf Domänenebene erstellen, in der du die Kennwortrichtlinien für die Domänenuser setzst. Diese Richtlinie filterst du über die Sicherheitseinstellungen so, dass sie nur die Gruppe Domänencontroller(!!) übernehmen darf (Auth. Benutzer raus aus der Liste, oder Gruppe Domänencontroller ein und "Gruppenrichtlinie übernehmen -> VERWEIGERN"). Dann erstellst du eine zweite Richtlinie auf Domänenebene mit den Settings für lokale Computer. Dort trägst du Gruppe Domänencontroller mit "Gruppenrichtlinie übernehmen -> VERWEIGERN" ein (oder: wieder auth. Benutzer raus und Guppe Domänencomputer zum Übernehmen rein). Ein gpupdate auf allen Rechnern, oder Neustart, oder einfach warten, bis die GPOs nach blauf des Zeitintervalls übernommen wurden, und das sollte dann so wie gewünscht funktionieren. grizzly999 Zitieren Link zu diesem Kommentar
SecurityMaker 10 Geschrieben 13. Dezember 2006 Melden Teilen Geschrieben 13. Dezember 2006 Hi, wenn du die Kennwortrichtlinie über die GPO am AD einstellst wirkt die auf alle Benutzer der Domäne du kannst aber auch eine 2 Kennwortrichtlinie erstellen die nur für die Lokalanmeldung ist. Nur irgendwie kommt mir das spanisch vor was der Auditor da gesagt hat. Das kein Konto auf "Kennwort läuft nie ab" stehen darf ist klar... aber das Domänenkonten oder generell Konten nur 1x pro Jahr das Passwort ändern müssen ist schwachsinnig. Egal ob du ISO 27001 nimmst oder BSI alle verlangen ein Maximum von 3 Monaten was das Konto alter angeht. Ideal ist immer 30 Tage. und eine sperrung der benutzen Kennwörter auf 12 Monate. Zitieren Link zu diesem Kommentar
cros69 10 Geschrieben 13. Dezember 2006 Autor Melden Teilen Geschrieben 13. Dezember 2006 An Security Maker, Wir haben alle Domänenbenutzer in der Domäne A = max. Kennwortalter 90 Tage Mir geht es aber um diese Benutzer: Alle Computerobjekte befinden sich in der child-domäne A.B Diese Domänenkonten, zum Teil builtIn und Administrative Domänenkonten müssen 1 x pro Jahr geändert werden. (z.B.: Domänen Admin) Genauso wie alle lokalen Benutzer (zu 99% nur Administrator-Konto) der einzelnen Computer der Domäne A.B müssen 1 x pro Jahr das Passwort ändern. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.