GPMC - Objekt bearbeiten nicht möglich

[vision311 10]

Ich arbeite momentan auf einem SBS 2003 Standard.

 

Es soll eine neue Kontensichterheitsrichtlinie domänenweit gelten.

In der Sicherheitsrichtlinie für Domänen bestehen die gewünschten Einstellungen bezgl. Passwortkomplexität etc.

Es bestehen bereits zwei Richtlinien, die auf der Domäne verlinkt sind (SBS - Kontensperrungsrichtlinie und SBS - Domänenkennwortrichtlinien). Die Einstellungen sind aber nicht korrekt.

Will ich diese GPOs von der gpmc.msc (Fenstertitel Group Policy Management)aus bearbeiten, öffnet sich anstatt des Gruppenrichtlinien-Objekteditors wiederum die GPMC, allerdings mit dem Fenstertitel "Gruppenrichtlinien-Editor".

 

Ich muss also eine eigene MMC kreieren und wähle dort aus:

Gruppenrichtlinien-Objekteditor.

 

So kann ich einzelne Policies auswählen und bearbeiten. Schöner wär aber der Weg bearbeiten aus der GPMC.

 

Was läuft schief?

[IThome 10]

Ähm, Du klickst mit rechts auf eine Verknüpfung - Bearbeiten und dann passiert was ? Es öffnet sich nicht der Gruppenrichtlinienobjekt-Editor ? :confused: Ich würde mir sowieso entweder eine ganz neue GPO/Kennwortrichtlinie erstellen, die dann in der Priorität nach oben geschoben wird oder ich würde die Kennwortrichtlinie des SBS entsprechend anpassen (sie hat eine höhere Priorität als die Default Domain Policy und nur deshalb wird sie auch angewendet) ...

[vision311 10]

Nein, es öffnet sich von der Ansicht her nicht die Richtlinie, sondern wieder die GPMC (das kann ich endlos wiederholen: in der neuen Ansicht rechtsklick-beabreiten etc.). Will ich Richtlinien bearbeiten, muss ich die manuell holen (oder eben angepasste MMC erstellen).

 

Beim Schreiben des obigen Artikels habe ich mich an einen Satz unseres Dozenten im MCSE-Lehrgang erinnert: Default Group Policy = Hands off.

 

Die SBS-Kennwortrichtlinie ist nach Kundenwunsch auch nicht die Richtige, es sollen nur User, aber keine Admins betroffen sein. Somit muss eh eine GPO angepasst werden, die schon rein auf die User zeigt respektive eine neue erstellt werden, falls nichts entsprechendes gibt.

[IThome 10]

Die SBS-Kennwortrichtlinie ist nach Kundenwunsch auch nicht die Richtige, es sollen nur User, aber keine Admins betroffen sein. Somit muss eh eine GPO angepasst werden, die schon rein auf die User zeigt respektive eine neue erstellt werden, falls nichts entsprechendes gibt.

Kennwortrichtlinien gelten bei 2003 IMMER für alle Domänenbenutzer und MÜSSEN für Domänenkonten auf Domänenebene festgelegt werden, womit der Kundenwunsch gar nicht erfüllt werden kann. Da es eine Computerrichtlinie ist, kann sie sowieso nicht auf User "zeigen", sondern nur auf Computer. Und dann gilt die Richtlinie für lokale Konten dieser Rechner und nicht für Domänenkonten, die sich an diesen Rechnern anmelden.

[NilsK 2.971]

Moin,

 

Kennwortrichtlinien gelten bei 2003 IMMER für alle Domänenbenutzer und MÜSSEN für Domänenkonten auf Domänenebene festgelegt werden, womit der Kundenwunsch gar nicht erfüllt werden kann.

 

... es sei denn, man setzt ein Drittanbieterprodukt ein, für das aber im SBS-Bereich meist kein Geld da ist.

 

faq-o-matic.net » Flexible Kennwortrichtlinien

 

Gruß, Nils

[IThome 10]

Okay, einigen wir uns auf: Mit Boardmitteln klappt das nicht ... :) Ich denke, dass beim TO ein Verständnisproblem vorliegt, was das Thema Domänenkennwortrichtlinien auf einem 2003 Server angeht ...

[vision311 10]

Gestrichen nach Lektüre von Nilsks Link

 

mein Überlegungsfehler bezüglich der Kennwortrichtlinie liegt in kleinen Häckchen der buetzerkonten..

 

Mein Hauptproblem bleibt: Aus der GPMC raus kann ich keine GPO editieren. Ich öffne mit bearbeiten lediglich ein weiteres GPMC-Fenster.

 

 

Guten Appetit, es ist Essenszeit :)

[IThome 10]

- GPMC-Problem : tut mir leid, kenne ich persönlich leider keine Lösung

- Komplexität: kein Problem, Kennwortrichtlinie auf Domänenebene, aber für alle

- Nicht domänenweit: ohne Zusatztools nicht möglich

- OU-Ebene: es funktioniert weder bei einem SBS noch bei einem "grossen" 2003er. Sicher kann man Kennwortrichtlinien auf OU-Ebene verlinken, sie wirken dann nur nicht auf Domänenkonten, sondern auf Benutzerkonten der lokalen Sicherheitsdatenbanken

- höchste Ebene: auch mit Sicherheitsfilterung wirst Du keinen Erfolg haben (wonach soll denn überhaupt gefiltert werden?)

GPOs verhalten sich auf einem SBS keinen Deut anders als auf jedem anderen 2003 Server. Vor 2008 Server gibt es (mit Boardmitteln) KEINE Möglichkeit, unterschiedliche Kennwortrichtlinien für DOMÄNENKONTEN anzuwenden. Ich denke schon, dass wir Dein Vorhaben und auch das Problem verstanden haben. Du hast offensichtlich das Prinzip der Kennwortrichtlinien in einer 2003 Domäne nicht verstanden, weswegen ich es versucht habe zu erklären.

[catal82 10]

Also um es noch einmal mit verständlichen Worten festzulegen. Das legt man einmal mit der Default Domain Policy fest bzw. einer Policy die alle Änderungen enthält und die Standarts ändert.

 

Hast du schon mal probiert mit der dsa.msc die oder andere Policies zu editieren?

[vision311 10]

Korrektur siehe oben. Mein Fehler.

 

Ich habe schlicht nicht an den Haken in den Konteneinstellungen im ADUC gedacht.

 

Danke für die Hilfe und Denkanstösse!