Win2003SRV - Kennwortrichtlinien

[Cordial 10]

moin zsam,

 

wir haben hier einen win2003 SBS am laufen. nun wollte ich einen kennwortrichtlinie erstellen für die "SBSUsers" organisation. dafür habe ich mmc "gruppenrichtlinien" gestartet und einen neue policy erstellt mit dem namen "passwort" diese ist in der organisation "SBSUsers" auf rang 1, dannach folgen die üblichen policy's. in der passwortpolicy habe ich eingestellt, dass das passwort min. 7 zeichen haben muss. alles andere ist nicht definiert. dannach habe ich im AD beim user in den eigeschaften das häckchen "benutzer darf kennwort nie ändern" weggemacht und das häckchen "benutzer muss bei der nächsten anmeldung neues kennwort eingeben" gesetzt. ich melde mich am client ab und an und der meldet auch direkt, dass ich kennwort ändern soll. wenn ich ein neues kennwort eingebe, dann kommt die meldung, dass es min. 0 zeichen, nicht in der chronik und 0 alt etc. sein darf. ich kann auch keine alten pw's nehmen ausser leeres pw, das geht. ich habe aber doch nur die richtlinie mit den 7 zeichen erstellt. wo zieht er sich das nun her!??!?!? habe in allen anderen policy's die kennwortrichtlinie soweit deaktiviert bzw. auf nicht definiert gestellt. habe auch sofort nach den einstellungen "gpupdate /force" durchgeführt...bin langsam ratlos..

[IThome 10]

Passwortrichtlinien für Domänenbenutzer werden AUSSCHIESSLICH auf Domänenebene definiert und nirgendwo sonst. Passwortrichtlinien, die auf OUs angewendet werden, in denen sich Computerkonten befinden, gelten für die Benutzerdatenbanken auf den Rechnern in dieser OU und nicht für Domänenkonten !

[mawihst 10]

hallo,

 

schau mal hier

 

 

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

 

Die einzige Stelle an der die Kennwortrichtlinie für ein Active Directory erstellt und verwaltet werden kann ist auf Domänen-Ebene, bevorzugt in der Default Domain Policy. Der SBS 2003 bietet hier ein gutes Beispiel, da er mit einer eigenen "Kennwortrichtlinie" daherkommt, die auf Domänen-Ebene verknüpft. ist.

Es ist auch die einzige Stelle ist, an der sie eine Auswirkung auf die Domänen-Benutzerkonten hat.

 

Jede an anderen Stelle konfigurierte Kennwortrichtlinie hat nur Auswirkungen auf die LOKALEN Benutzerkonten der betreffenden Computer in der OU, auf der diese Richtlinie wirkt.

[Cordial 10]

danke für die antworten....jetzt scheint es zu klappen, da ich die kennwortrichtlinien in der "default domain policy" eingestellt habe. diese kennworteinstellung gilt aber nur für die "computer", die im AD sind, richtig?

 

****e frage, aber der administrator ist von dieser einstellung nicht betroffen oder? :)

[IThome 10]

Selbstverständlich ist er das und es gilt natürlich auch nur für Computer innerhalb der Domäne (die anderen bekommen die Richtlinien ja nicht) ...

[Cordial 10]

ok, der admin ist auch davon betroffen...ich habe eingestellt, dass das kennwort min. 5 zeichen haben muss + kennwortchronik 12 und das maximale kennwortalter ist 42 tage, sprich nach 42 tagen muss er sich ein neues geben, dass noch nicht in der chronik steht...ich möchte aber das es nur für die benutzer in der domäne zutrifft und sonst keinen...reicht es, wenn ich im AD dem "administrator" in den eigenschaften das häckchen "passwort läuft nie ab" setze?

[mawihst 10]

ok, der admin ist auch davon betroffen...ich habe eingestellt, dass das kennwort min. 5 zeichen haben muss + kennwortchronik 12 und das maximale kennwortalter ist 42 tage, sprich nach 42 tagen muss er sich ein neues geben, dass noch nicht in der chronik steht...ich möchte aber das es nur für die benutzer in der domäne zutrifft und sonst keinen...reicht es, wenn ich im AD dem "administrator" in den eigenschaften das häckchen "passwort läuft nie ab" setze?

 

Es sollte funktionieren wenn du dem administrator das ausführen der policy verweigerst

[IThome 10]

Nein, sollte es nicht ... Das ist eine Computerrichtlinie und wird letztlich von den Domänencontrollern angewendet ... Wenn der Haken gesetzt wird, dass das Passwort nicht abläuft, dann läuft es auch nicht ab (was gerade beim Administrator eher ungünstig ist ;) )

[mawihst 10]

Nein, sollte es nicht ... Das ist eine Computerrichtlinie und wird letztlich von den Domänencontrollern angewendet ... Wenn der Haken gesetzt wird, dass das Passwort nicht abläuft, dann läuft es auch nicht ab (was gerade beim Administrator eher ungünstig ist ;) )

Ja das stimmt, war wohl etwas vorschnell-sorry

[Cordial 10]

danke für die antworten...wir sind gerade dabei eine neue passwortstrategie zu entwickeln und dachten, dass es reicht, wenn wir den benutzern die o.g. einstellungen einrichten und dem admin ein neues pw bei gelegenheit geben, denn im ganzen unternehmen wissen das passwort nur 2 leute...

 

@ithome

deine meinung wäre, dass der admin genauso passwortsicher gemacht werden sollte wie die benutzer, richtig?

[Christoph35 10]

Meiner Meinung nach sollten die Admins sogar strengeren PW-Richtlinien unterliegen, schließlich ließe sich mit diesen Accounts mehr Unheil anrichten.

 

Mit Windows Server 2008 wird das auch möglich sein.

 

Christoph

[IThome 10]

Ganz genau, denn er kann am meisten kaputt machen ... Denke dann aber daran, dass keine Dienste in diesem Sicherheitskontext laufen ...

[Cordial 10]

@ithome

 

was meinst du jetzt mit dienste nicht laufen?

[IThome 10]

Naja, Dienste laufen mit einem Benutzeraccount und ich habe schon oft gesehen, dass dafür der Administrator benutzt wird (ist ja so schön einfach). Wenn das Kennwort des Administrators jetzt regelmässig verändert wird, wird das in den Diensteinstellungen nicht synchronisiert und der Dienst läuft entweder nicht mehr bzw. lässt sich nicht mehr starten oder er hat keinen Zugriff mehr (worauf auch immer er zugreifen muss, das Kennwort stimmt ja nicht mehr) ...

[Cordial 10]

ah ok das meinst du...das sind ja eigentlich fast nur dienste, die von drittanbietersoftware installiert werden, aber da haben wir immer ein extra konto angelegt...