Gruppenrichtlinie Account Policies

[beckert81 10]

Hallo zusammen.

 

Man kann ja in der Gruppenrichtlinie definieren, nach wievielen falschen Anmeldevorgängen ein Benutzerkonto gesperrt wird.

 

Dies ist eine Einstellung in der Computer-Konfiguration.

 

Nun meine Frage:

Gibt es die Möglichkeit ein GPO so zu konfigurieren, dass nur die Benutzer einer bestimmten OU diese Gruppenrichtlinie erhalten?

bzw. kann man bestimmte Benutzerkonten von einer Sperrung ausschliessen?

 

Ich wäre Euch sehr dankbar, wenn mir einer helfen könnte oder mir zu bestätigen, dass

diese Konstellation nicht möglich ist.

 

Besten Dank im Voraus!

 

Benjamin

[IThome 10]

Nein, das kann man nicht konfigurieren ...

[jose 10]

Nein, das kann man nicht konfigurieren ...

 

Ich bin mir jetzt nicht sicher, dass das gar nicht geht, denn schließlich kann man in den Eigenschaften einer jeden Policy die Nutzerrechte verwalten.

Wenn du in der Rechtekartei den jeweiligen User einrichtest und ihm das Recht "Gruppenrichtlinie übernehmen" gar nicht gibst oder gar verweigerst, dann sollte dieser User von der GPO doch unberührt bleiben, oder?!

 

Ich lass mich aber auch gern vom Gegenteil überzeugen, denn das habe ich so noch nie ausprobiert.

[IThome 10]

Computerkonfigurationseinstellungen gelten für Computer und nicht für Benutzer. Diese Einstellung wird für die Computer definiert, die verantwortlich für die Domänenbenutzerkonten sind, also die Domänencontroller. Ausserdem werden Account Lockout Policies wie auch Passwort Policies auf Domänenebene definiert und nicht auf OU-Ebene ...

Group Policy application rules for domain controllers

[beckert81 10]

Hallo,

 

danke für die Antworten.

 

Gibt es die Möglichkeit, eine Einstellung zu tätigen, dass z.B. ein Dienstekonto, trotz Falschanmeldung nicht gesperrt werden kann?

 

Gruss

Benni

[grizzly999 11]

Nein, für alle, oder keinen,. Das geht erst, wenn auch etwas umständlich, bei Server 2008

 

grizzly999

[deubi 10]

Hallo,

 

danke für die Antworten.

 

Gibt es die Möglichkeit, eine Einstellung zu tätigen, dass z.B. ein Dienstekonto, trotz Falschanmeldung nicht gesperrt werden kann?

 

Gruss

Benni

 

 

sowas "sollte" ja eigentlich nicht vorkommen, weil ein Dienstekonto nicht interaktiv ge(- oder miss-)braucht werden sollte, abgesehen von sauber koordinierten Wartungsarbeiten.

 

Oder ging's im Kern vielleicht eher darum, dass die Passworte der Dienstkonten nie ablaufen sollten?

[beckert81 10]

Nein, das mit den Dienstekonten war etwas falsch formuliert. Da haben wir eingestellt, dass das Kennwort nicht abläuft.

 

Eigentlich geht es hauptsächlich um einen Autologon-User.

Wir haben ca 100 Stationen die im Kiosk-Modus laufen und die via GPO beim hochfahren automatisch angemeldet werden sollen.

Es wird dann eine Software gestartet Siemens WinCC. Dort melden sich die User mit Ihrem eigenen Anmeldekonto an. Dort soll die Account-Sperre dann funktionieren;

sprich nach dem 5ten falschen Passwort, Account gesperrt.

 

Manche User drücken aber auch schonmal die Shift-Taste und versuchen sich dann mit dem Autologonuser anzumelden. Wenn dann der Account gesperrt wird, dann können die anderen Stationen beim booten nicht mehr angemeldet werden. Das wollten wir verhindern, da es in letzter Zeit deshalb öfters Probleme gegeben hat.

->Deshalb soll der Autologonuser von der Account-Sperre ausgeschlossen werden.

 

Klar haben wir dann den entsprechenden Usern auf die Finger gehauen, aber trotzdem kommt es immer wieder vor und wir könne auch nicht genau beweisen, wer es war.

 

Unsere Dienstekonten sind so konfiguriert, dass Sie sich nicht interaktiv anmelden lassen sollen.

 

Hat jemand noch ne Idee für diese Problemstellung?

 

Danke für die zahlreichen Antworten.