sammy2ooo 10 Geschrieben 30. Januar 2007 Melden Teilen Geschrieben 30. Januar 2007 Hi, ich möchte eine Lockout Policy, die bisher definiert war deaktivieren, d.h. jeder soll soviele Loginversuche haben wie er will, zumindest möchte ich das nur auf eine bestimmte OU. Allerdings greift diese Einstellung einfach nicht. Selbst nach einem manuellen "gpupdate" an dem entsprechenden Server sowie zig Loginversuchen und einem Serverneustart greift die Policy nicht. Auch habe ich versucht die beiden DCs manuell, sprich über "Active Directory Sites and Services" zu replizieren... Die DCs sind W2k Kisten und der Memberserver ist W2K3 Server... Es wurde keine Vererbung unterbrochen und auch keine gesonderten Berechtigungen auf die GPOs vergeben. Ein "gpresult /V" zeigt mir folgendes: ... Last time Group Policy was applied: 30.01.2007 at 16:02:35 Group Policy was applied from: dc01.domain.local Applied Group Policy Objects Default Domain Policy The following GPOs were not applied because they were filtered out Local Group Policy Filtering: Not Applied (Empty) ... Resultant Set Of Policies for Computer ... Account Policies GPO: Default Domain Policy Policy: MinimumPasswordAge Computer Setting: N/A GPO: Default Domain Policy Policy: PasswordHistorySize Computer Setting: 20 GPO: Default Domain Policy Policy: MinimumPasswordLength Computer Setting: 8 GPO: Default Domain Policy Policy: LockoutBadCount Computer Setting: N/A GPO: Default Domain Policy Policy: MaximumPasswordAge Computer Setting: 90 Audit Policy .... GPO: Default Domain Policy Policy: PasswordComplexity Computer Setting: Enabled GPO: Default Domain Policy Policy: ForceLogoffWhenHourExpire Computer Setting: Not Enabled GPO: Default Domain Policy Policy: ClearTextPassword Computer Setting: Not Enabled GPO: Default Domain Policy Policy: Audit: Audit the access of global system objects ValueName: MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects Computer Setting: 1 GPO: Default Domain Policy Policy: Interactive logon: Do not display last user name ValueName: MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName Computer Setting: 1 ... USER SETTINGS CN=mach5,CN=Users,DC=domain,DC=local Last time Group Policy was applied: 30.01.2007 at 16:06:34 Group Policy was applied from: dc01.domain.local Group Policy slow link threshold: 500 kbps Domain Name: MYDOMAIN Domain Type: Windows 2000 Applied Group Policy Objects Default Domain Policy The following GPOs were not applied because they were filtered out Local Group Policy Filtering: Not Applied (Empty) GPO: Default Domain Policy Policy: LockoutBadCount Computer Setting: N/A D.h. es sollte doch funktionieren, dass ich mit einem Benutzer der in der default "Users" OU ist, und sonst keine GPOs ausser der "Default Domain Policy" d.h. zig-tausendmal falsch eingeben kann, ohne das der Account gelockt wird..... Hat mir jemand nen Rat? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 30. Januar 2007 Melden Teilen Geschrieben 30. Januar 2007 Kennwortrichtlinien für Domänenkonten wirken nur, wenn sie auf Domänenebene angewendet werden. Kennwortrichtlinien, die nicht auf Domänenebene angewendet werden, wirken auf die lokalen! Benutzerdatenbanken der Computer, die sich in Reichweite der Richtlinie befinden ... Wenn Du möchtest, dass jeder Domänenaccount sein Passwort so oft wie er will falsch eingeben können soll, ohne gesperrt zu werden, musst Du die Kontensperrungsschwelle auf 0 stellen und diese Richtlinie in den Domänencontainer linken (es muss nicht die Default Domain Policy sein) Zitieren Link zu diesem Kommentar
sammy2ooo 10 Geschrieben 31. Januar 2007 Autor Melden Teilen Geschrieben 31. Januar 2007 Hi und merci für deine Antwort, ich habe nun eine eigene OU erstellt dort die Vererbungshierarchie unterbrochen und den Benutzer dorthin verschoben. Kann es sein, das man bei Passwordpolicies die Vererbung nicht unterbrechen kann? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 31. Januar 2007 Melden Teilen Geschrieben 31. Januar 2007 Du hast IThome's Antwort aufmerksam gelesen? :rolleyes: :rolleyes: Zitieren Link zu diesem Kommentar
sammy2ooo 10 Geschrieben 31. Januar 2007 Autor Melden Teilen Geschrieben 31. Januar 2007 Du hast meine Frage aufmerksam gelesen? :suspect: Die Kennwortrichtlinien sind auf Domänenebene definiert. Und ich habe auch verstanden, dass wenn man die Kennwortrichtlinien nicht auf Domänenebene defniert, sprich auf "unterster Ebene" sich diese auf die lokalen Benutzer auswirken, also die "Local Security Policy" beeinflusst wird. Aus ITHomes Antwort kann ich nicht rauslesen, dass man die Vererbung von Kennwortpolicys nicht unterbrechen kann. Ist dem so? Zitieren Link zu diesem Kommentar
Das Urmel 10 Geschrieben 31. Januar 2007 Melden Teilen Geschrieben 31. Januar 2007 Wenn ich das mal übersetze: Konten / Passwortrichtlinien gibts nur eine in der Domain. Off-Topic:hoffentlich richtig so ;) Zitieren Link zu diesem Kommentar
sammy2ooo 10 Geschrieben 31. Januar 2007 Autor Melden Teilen Geschrieben 31. Januar 2007 aaaaahhhhh jetzt :D danke für deine Antwort Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 31. Januar 2007 Melden Teilen Geschrieben 31. Januar 2007 Wenn überhaupt unterbrechen, dann nur auf der Domain Controllers OU (dort werden die Domänen-Kennwortrichtlinien angewendet) ... Aber das sollte man nicht machen, da dann die Kennwortrichtlinie nicht angewendet wird ... Changes are not applied when you change the password policy Es gibt auch noch andere Einstellungen, die ausschliesslich auf Domänenebene anwendbar sind ... Domain Security Policy in Windows 2000 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.