Passwortrichtlinien

[marin 10]

Hallo Zusammen

 

Eine Frage betreffend PW-Richtlinien im SBS 2003 R2: Nachdem ich eine OU erstellt habe und darin einen Benutzer erstellt habe reichtete ich eine PW-Richtlinie ein (Mindesten 7 Zeichen, komplexe Passwörter) und verlinkte sie mit der OU. Nach einem GPUpdate/ force auf dem Server konnte ich über rechte Maustaste, Passwort zurücksetzten locker 1234 als neues Passwort eingeben. Sollte da nicht eine Meldung erscheinen dass das gewünschte PW nicht den Richtlinien entspricht?

 

Gruss

 

Martin

[XP-Fan 216]

Hallo,

 

als wer bist du angemeldet und bist du Mitglied der betreffend eingeschränkten OU ?

[IThome 10]

Passwortrichtlinien für Domänenkonten werden ausschliesslich auf Domänenebene angewendet. Werden sie auf OU-Ebene angewendet, gelten sie nur für die lokalen Konten der Computer, die sich in der Reichweite dieser Richtlinie befinden und nicht für Domänenkonten ...

[marin 10]

Gute Frage, habe da so eine Vermutung. Habe das PW am Server über die MMC zrückgesetzte und war da als Dom-Admin angemeldet. Ist es demnach so das die Richtlinie nur auf den Benutzer der in der OU ist angewendet ist (und habe ich damit meine Frage selbst beantwortet?)

[IThome 10]

Nein, sie wird gar nicht für irgendeinen Benutzer der Domäne angewendet ...

[marin 10]

@ITHome

 

Demnach sollte das Computerkonto in die OU verschoben werden? Geht aber nicht in meiner Situation!

[IThome 10]

Auch das bringt nichts, da es Dir um Domänenkonten geht. Es funktioniert nur eine Kennwortrichtlinie (ohne Zusatzsoftware) und die muss auf Domänenebene gelinkt werden und sie gilt für ALLE Konten der Domäne ...

[marin 10]

Danke für die Antwort!

OK, jetzt ists angekommne. Dann könnte man jedoch auf der OU wo diese Richtlinie nicht gelten soll mit der Option "Block Inheritance" ausschalten, oder bin ich da auch falsch?

[IThome 10]

Nein , das klappt nicht. Die Domänenkonten befinden sich auf den Domänencontrollern, die diese Richtlinie lesen müssen. Dort darfst Du die Vererbung NICHT deaktivieren. Überall anders bringt es gar nichts (zumindest nicht für Domänenkonten). Linkst Du eine Passwortrichtlinie auf OU-Ebene, müssen sich in der OU Computerkonten befinden und diese Richtlinie wirkt dann auf diese Computer bzw. auf die Konten dieser Computer. Das sind dann aber lokale Konten und keine Domänenkonten ...

Also: Passwortrichtlinie für Domänenkonten ausschliesslich auf Domänenebene und es geht auch nur eine, die für alle gilt. Alles andere wirkt nicht auf Domänenkonten ...

[marin 10]

OK. Wie lässt sich den folgendes Realisieren: Habe einen User der in der OU VPN ist. Dieses User soll als einziger im Betrieb über komplexe Passwörter verfügen, die per GPO definiert werden sollen. Gibts dazu eine Lösung?

[Christoph35 10]

Nicht von haus aus. wie ITHome schon bemerkte, geht das nur über 3rd Party Tools.

 

Christoph

[blub 115]

@Christoph, kannst du ein solches Tool nennen?

cu

blub

[Daim 12]

Darf es auch Daim sein ? ;)

 

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

oder

 

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

[blub 115]

Hi Daim,

merci, kannte ich nicht. Hast du es schonmal ausprobiert? Was veändert das Tool am AD?

 

cu

blub

[Christoph35 10]

@Blub: hätte ich gemacht, mir fiel nur der Name grad nicht an. Aber Daim hat es ja schon ins Spiel gebracht, nämlich SpecOps.

 

Aber Longhorn, oder Windows Server 2008, wie er jetzt heißt, soll das ja auch beherrschen:

Longhorn Poised to Provide Multiple Domain Passwords

 

Christoph