Jump to content

Diversen OU's Kontosperrrichtlinien erstellen Frage


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hossa Folks,

 

Als ich für die 70-215'ner lernte, hiess es, ich könne für jede OU's zb:

 

test.dom

|

|__ OU Frankfurt

|

|__ OU Berlin

 

Für die OU Frankfurt eine Kennwortrichtlinie bei der nach 3 ungültigen Versuchen das

Konto gesperrt wird, bis der Admin es wieder freischaltet.

 

Für die OU Berlin eine Kennwortrichtlinie bei der nach 7 ungültigen Versuchen das

Konto gesperrt wird, bis der Admin es wieder freischaltet.

 

erstellen.. ???!! :suspect:

 

Dabei hiess es im Kurs, so weit ich mich noch erinnere, man könne Pro Domäne nur

1 GPO mit Kennwortrichtlinien erstellen..??!? :shock: Und, falls man nochmals

eine machen möchte (Kennwortrichtlinie) mit anderen Einstellungen müsste man

eine neue Domäne erstellen also zb. test.dom || neu.dom ......

 

:suspect:

 

Freue mich auf eine klare Antwort.. :)

Link zu diesem Kommentar

Was du für die 215 gelernt hast, wurde dir falsch vermittelt: Egal ob 2000 oder 2003, Man kann Kontorichtlinien nur auf Domänenebene einrichten !!

 

Sehr wohl ist es möglich, Kontorichtlinien in einem GPO einzurichten und an eine OU zu verlinken, die EInstellungen beziehen sich dann aber nur auf lokale Konten auf Computern in der OU

 

 

grizzly999

Link zu diesem Kommentar

Dabei hiess es im Kurs, so weit ich mich noch erinnere, man könne Pro Domäne nur

1 GPO mit Kennwortrichtlinien erstellen..??!? :shock: Und, falls man nochmals

eine machen möchte (Kennwortrichtlinie) mit anderen Einstellungen müsste man

eine neue Domäne erstellen also zb. test.dom || neu.dom ......

 

Ich bin der Meinung das ist Richtig, zumindest das auf einer Domäne im Endeffekt nur eine Kennwortrichtlinie greifen kann und nicht zwei verschiedene gleichzeitig! :suspect:

 

Um mal Konkret zu werden:

 

Kennwortrichtlinien werden auf die Domäne angewendet und greifen somit Domänenweit.

Es ist also nicht möglich innerhalb einer Domäne auf zwei unterschiedliche OU´s zwei unterschiedliche Kennwortrichtlinien anzuwenden.

 

z.B.

Möchte man innerhalb der Domäne A für die OU1 eine Kennwortlänge von min. 6 Zeichen festlegen und für die OU2 eine Kennwortlänge von min. 7 Zeichen so kann man diesen Wunsch nicht innerhalb einer Domäne A realisieren. Sondern man benötigt eine zweite Domänen B. In Domäne B könnte man nun die OU2 verschieben um das gewünscht Ergebnis zu erzielen, so das auf OU1 und OU2 eine unterschiedliche Kennwortrichtlinie angewendet wird, weil sich die OU´s jetzt in unterschiedlichen Domänen befinden!

 

Ich hoffe habe keinen Unsinn erzählt, aber da bin ich mir relativ sicher. :wink2:

 

Gruß

Link zu diesem Kommentar

Hi zusammen,

 

Ich glaube es hat etwas mit der Art und Weise der Speicherung von Kennwortrichtlinien zu tun.

 

Pro Kontendatenbank kann nur eine Kennwortrichtlinie bestimmt werden. Da es pro Active Directory-Domäne nur eine einzelne Kontendatenbank gibt, kann für sie auch nur eine Kennwortrichtlinie gespeichert werden.

 

Sollte irgendwer andere Richtlinien für seine Kennwörter haben wollen, muss er sie in einer anderen Kontendatenbank speichern, also in einer neuen Domäne, oder eben lokal, nur kann er sich mit denen dann nicht an dem domainbasierten Konto anmelden.

 

gruß christmazter

Link zu diesem Kommentar
Was du für die 215 gelernt hast, wurde dir falsch vermittelt: Egal ob 2000 oder 2003, Man kann Kontorichtlinien nur auf Domänenebene einrichten !!

 

Sehr wohl ist es möglich, Kontorichtlinien in einem GPO einzurichten und an eine OU zu verlinken, die EInstellungen beziehen sich dann aber nur auf lokale Konten auf Computern in der OU

 

 

grizzly999

 

Hallo grizzly999,

 

ich muss bei dir nochmal nachhaken, weil das ein Punkt, den ich auch noch nicht 100% beherrsche.

Wenn ich eine Kennwortrichtlinie auf Domänenebene einrichte und parallel ein Kennwort- richtlinie auf OU-Ebene mit Computerkonten, dann sticht ja bekanntlich der Ober den Unter (Domäne die OU).

Diese Richtlinie wird aber angewandt, wenn ich mich lokal anmelde -> ist das so richtig verstanden?

 

Falls ja, was ist, wenn ich zusätzlich noch eine lokales Kennwort-GPO einrichte?

 

mfg Dark-Knight

Link zu diesem Kommentar

Auch wenn ich nicht Grizzly bin (ich hoffe, Du nimmst mir das nicht übel) ...

Kennwortrichtlinien werden auf Domänenebene angewendet und werden neben allen Computerkonten, die sich in der Domänen befinden, auch an die Domänencontroller vererbt (deswegen darf man in der Domain Controllers OU die Vererbung nicht deaktivieren). Das ist der Grund, warum es für alle Domänenkonten gültig ist, die ja die Domänencontroller speichern. Diese Kennwortrichtlinie wird aber auch an alle anderen Computer der Domäne vererbt, so dass auf ihnen, also in den lokalen Kontendatenbanken, die gleiche Kennwortrichtlinie gilt. Wendest Du jetzt eine andere Kennwortrichtlinie auf einer OU an, in der sich Computerkonten befinden, überschreibt diese Richtlinie die, die von der Domäne kommt und wirkt sich auf die Objekte in ihrer Reichweite aus. Und das sind dann eben Mitgliedscomputer und eingestellt wird die Kennwortrichtlinie, die sich auf die lokalen Konten dieser Mitgliedscomputer bezieht. Du hättest dann 2 verschiedene Kennwortrichtlinien, eine, die sich auf alle Domänenkonten und auch auf Membercomputer, die sich nicht in der Reichweite der 2. Kennwortrichtlinie befinden, bezieht und eine, die sich auf die Kennwörter der lokalen Konten bezieht, die auf den Membern in dieser OU angelegt werden ...

Link zu diesem Kommentar

Ich bin für jede Hilfe mehr als dankbar.

Ich versuche das mal beispielhaft darzustellen:

 

Melde ich mich an Memberserver A mit einem Domänenaccount an der Domäne an, wirkt die Domänenrichtlinie.

Melde ich mich mit einem lokalen Benutzerkonto an dem Memberserver A an, wirkt das GPO der OU. Ist das richtig, oder stehe ich immer noch auf dem Schlauch?

 

Ich habe es immer so verstanden, das die Domänenrichtlinie immer wirkt, wenn der Computer in einer Domäne ist und sich ein Domänenkonto anmelden möchte.

Link zu diesem Kommentar
  • 5 Jahre später...

Danke für diese Diskussion!

 

Ich hab es auch so ausprobiert in beide

 

Default Domain Controllers Policy

Default Domain Policy

 

wie folgt

 

Kontensperrungsschwelle 20 ungültige Anmeldeversuche

Kontosperrdauer 0 Minuten

Zurücksetzungsdauer des Kontosperrungszählers 9999 Minuten

 

eingetragen und funktioneirt trotzdem nicht :(

 

ich dachte ich hätte es kappiert :((

 

Oder können diese Einstellungen vielleicht noch irgendwo verhindert werden?

Link zu diesem Kommentar

Moin Kollegen,

also zuerst wäre es hilfreich zu wissen auf welcher Funktionsebene die Dom läuft u. welche Serverversion im Einsatz ist.

Das ganze vorhaben (diff. Kennworteinstellung) funktioniert erst ab Dom-Funktionsebene 2008 weil dort 2 neue Objektklassen zum Schema hinzugefügt wurden, das sind die:

PSC (Password Settings Container) &

PSO (Password Settings Objekt)

die liegen unter dem Systemcontainer der Domäne.

Außerdem kann man PSO´s nicht direkt auf OU´s anwenden sondern eben auf GRUPPEN. Wenn Benutzer in OU´s gegliedert sind, empfiehlt Microsoft Schattengruppen (globale Sicherheitsgruppe) einzurichten und die PSO´s auf diese anzuwenden. Es ist dann sogar möglich nochmals innerhalb dieser Gruppe sogenannte Ausnahme-Kennworteinstellungsobjekte zu definieren.

Das ganze geht mit dem ADSI-Editor eigentlich ziemlich simpel von statten.

....pss schau mal im Technet unter Fine-Grained Password

hoffe etwas geholfen zu haben

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...