Jump to content

Passwortrichtlinie für verschiede OUs

Seromann

Von Seromann
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Seromann Proficient

Seromann   10

Geschrieben
Geschrieben

Hiho,

 

hab gerade mit einem Kollegen ein Streitthema und zwar:

Ist es Möglich eine Gruppenrichtlinie auf eine OU zusetzten wo die minimale Kennwortlänge 10 Zeichen besitz und auf einer anderen OU die minimale Kennwortlänge von 5 Zeichen ?

 

Meines erachtens ist dies nicht möglich, mann kann es zwar setzten, aber es wird nicht gezogen. Die Passworteinstellung die auf der Domäne gesetzt ist setzt sich bei allen OUs durch.

 

Gibts Fachkundige Infos dazu ?

 

Lieben Gruß

 

Sero

Link zu diesem Kommentar
Daim Veteran

Daim   12

Geschrieben
Geschrieben

Servus,

 

Ist es Möglich eine Gruppenrichtlinie auf eine OU zusetzten wo die minimale Kennwortlänge 10 Zeichen besitz und auf einer anderen OU die minimale Kennwortlänge von 5 Zeichen ?

 

ja, möglich ist das.

Die Frage lautet nur, warum soll man für die LOKALEN Benutzer auf den Clients eine Kennwortrichtlinie erstellen?

 

 

Meines erachtens ist dies nicht möglich, mann kann es zwar setzten, aber es wird nicht gezogen.

 

Die einzigste Stelle auf denen die Kennwortrichtlinie aktiviert werden darf, ist auf der Domänen-Ebene und das sogar bevorzugt in der DEFAULT DOMAIN Policy.

Denn ansonsten, wirkt sie eben nur auf die lokalen Accounts der Clients (was kaum Sinn macht).

 

Daher musste man bis Windows Server 2003 mehrere Domänen erstellen, wenn man unterschiedliche Kennwort-Richtlinien haben wollte. Oder eben auf Dritt-Anbieter Tools setzen.

 

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

 

 

Erst im Windows Server 2008 kann man mehrere Kennwortrichtlinien erstellen.

Das kann man für Benutzer, Gruppen und inetorg Objekte erstellen. Aber ebenfalls nicht auf OU-Ebene.

Link zu diesem Kommentar
Seromann Proficient

Seromann   10

Geschrieben
  • Autor
Geschrieben

gut...dann hab ich ja recht gehabt.

 

es ging ja darum das die benutzer in der OU dann eine andere kennwortrichtlinie bekommen wie der rest....das ganze sollte nicht auf die lokalen benutzer zählen, sondern für die domänen benutzer die in der OU sind.

 

also kann man das so sagen:

 

entweder bekommen alle eine richtlinie oder keiner...und wenn dann werden die kennwortrichtlinien in der default domain policy eingestellt.

 

besten dank :D

Link zu diesem Kommentar
IThome Grand Master

IThome   10

Geschrieben
Geschrieben
entweder bekommen alle Domänen-Benutzer eine richtlinie oder keiner...und wenn dann sollten die kennwortrichtlinien in der default domain policy eingestellt werden.

Warum eigentlich in der Default Domain Policy ? Ich habe gelernt, dass man die Default Policys so lassen soll, wie sie sind. Einerseits aus Wiederherstellungsgründen (DCGPOFIX, RECREATEDEFPOL) und andererseits der Übersichtlichkeit halber. Microsoft macht es mit dem SBS auch vor. Dort werden extra Richtlinien erstellt, die über der Default Domain Policy platziert werden ...

Aber wahrscheinlich gibt es dazu so viele Meinungen, wie es Leute gibt ... :D

 

Ach ja, zusätzlich darf in der Domain Controllers OU die Vererbung nicht deaktiviert sein, denn die sollen die Richtlinie ja schliesslich anwenden ...

edit: allerdings habe ich jetzt einen Artikel gefunden, der beschreibt, dass manche Dinge in der Default Policy gesetzt werden sollen ...

Microsoft Corporation. Allerdings steht dort auch, dass bestimmte Policies dort gesetzt werden müssen. Wie man am Beispiel des SBS sehen kann, kann diese Aussage nicht richtig sein ...

Link zu diesem Kommentar
Daim Veteran

Daim   12

Geschrieben
Geschrieben
Warum eigentlich in der Default Domain Policy ?

 

Da man mit der Zeit eine andere Erkenntnis gewonnen hat.

 

 

Ich habe gelernt, dass man die Default Policys so lassen soll, wie sie sind.

 

Das wurde zu den anfängen von GPOs (in den anfängen von Windows 2000) auch so propagiert.

Man hat aber dann eingesehen, dass in der DefDomPol die ohnehin auf Domänen-Ebene bereits verknüpft ist, kaum Dienste leistet. Da lag es eben nahe, lediglich die Kennwort-Richtlinie mit der der DefDomPol einzusetzen.

 

 

Aber wahrscheinlich gibt es dazu so viele Meinungen, wie es Leute gibt ... :D

 

Ja, dass kann man so sagen.

Die Strategie sowie Positionierung ändert sich eben durch gewonnene neue Erkenntnisse.

 

 

edit: allerdings habe ich jetzt einen Artikel gefunden, der beschreibt, dass manche Dinge in der Default Policy gesetzt werden sollen ...

Microsoft Corporation

 

Man wird mit der Zeit schlauer ;) .

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...