AD und GPO

[morpheus 10]

Folgendes,

 

habe Active Directory und eine GPO welche festlegt, dass alle 90 Tage Kennwort geändert werden soll.

 

Soweit so gut.

 

Ich möchte aber, dass der User "Administrator" von dieser Richtlinie nicht betroffen ist.

 

Wie kann ich das umsetzen ???

[brwic 10]

nim einfach einfach den authentifizierten benutzer aus der gpo, weil da is der administrator auch mit drin und sage dann der gruppe oder dem user fuer den die gpo ist gruppenrichtlinien uebernehmen

[grizzly999 11]

No, no no! Das ist eine Computerrichtlinie und von der sind alle betroffen in der Domäne. Das kann man nicht mal uf OU-Ebene anders definieren. Will man für jemanden eine andere Kontenrichtlinie, dann muss man dafür eine eigene Domäne machen.

 

grizzly999

[LEONOV 10]

Hi

 

Erstelle einen neuen Container und erstelle für diesen einen neue GPO. Alle Benutzer bzw. Computer die in diesem Container liegen unterliegen dieser GPO.

 

An der DefaultDomainPol bzw. DefaultDomainControllerPol würde ich nur Sachen Regeln die für absolut alle gelten sollen.

 

 

Grüße

Leonov

[grizzly999 11]

Ich weiss ja nicht, aber ich dachte, ich schreibe auf deutsch

 

Ich kann im AD Kontenrichtlinien nur auf Domänenebene einrichten, egal, was ich am Standort oder irgeneiner OU eintrage, das wird dann ignoriert.

Und es gilt für alle, da Computerrichtlinie und nicht Benutzerrichtlinie. Filterung auf Benutzer oder Gruppen ist dann nicht.

 

grizzly999

[klausk 10]

Ich beschreibe mal die Aussage von grizzly999 etwas ausführlicher, da ich vermute dass das Wörtchen Domäne überlesen wurde, diese Abgrenzung aber wichtig ist:

 

Kontenrichtlinien auf OU-Ebene ändern die Kontenrichtlinien der lokalen Systeme. Ein Domänenuser meldet sich aber nicht mit einem lokalen Account des Client-Systems an (also mit einem Benutzerkonto aus der lokalen SAM) sondern mit einem Account aus dem Active Directory (= Domänenkonto). Damit haben die Kontenrichtlinien-Einstellungen des Clients aber keinerlei Einfluß auf die Domänen-Einstellungen - aus Sicht der Domäne werden die Einstellungen, wie grizzly999 geschrieben hat, ignoriert. Nur bei lokaler Anmeldung am Client mit einem lokalen Account wirken sich die OU-GP-Einstellungen aus. Ein Test wird genau dieses Verhalten aufzeigen.

 

@grizzly999

Ich weiss ja nicht, aber ich dachte, ich schreibe auf deutsch!

Naja, ein bßchen englisch ist schon dabei ... ;) :D

[grizzly999 11]

Original geschrieben von klausk

Naja, ein bßchen englisch ist schon dabei ... ;) :D

 

Miste, ich hatte es geahnt... :D

Danke für die Erklärungshilfe ;)

 

grizzly999

[zuschauer 10]

Original geschrieben von grizzly999

Miste, ...

Mmh, ... italienisch ?

[morpheus 10]

Hi, wenn ich die Antworten richtig bewerte, ...

 

... ist der Administrator beim Einsatz von Kontorichtlinien immer genauso betroffen, es sei denn man verwirklicht die Administration aus einer seperaten Domäne in der der Adminaccount liegt.

 

 

Vielen Dank. Gruß

 

MORPHEUS

[Red Sector 10]

Hallo Morpheus,

 

entweder ich habe die Frage falsch verstanden, oder ich weiß nicht so recht, warum hier so lange über diese Frage diskutiert wird.

 

Es geht doch wohl darum, dass eine Kennwortrichtlinie nicht für den Administrator gelten soll, oder?

 

Für solche Fälle gibt es zwei Möglichkeiten:

 

A: In den Eigenschaften eines jeden Benutzerkontos gibt es die Einstellung: "Kennwort läuft nie ab" (ist beim Administrator standardmäßig gesetzt). Damit kann jedes Benutzerkonto vor einer Kennwortänderung geschützt werden. Das ist besonders bei Dienstkonten notwendig und wichtig.

 

B: Im Gegensatz zu dem was hier im Forum behauptet wird, ist eine Filterung von Kontenrichtlinien auf Domänenebene sehr wohl möglich!

Dazu muss das Recht "Gruppenrichtlinie übernehmen" der entsprechenden Richtlinie derjenigen Gruppe verweigert werden, die nicht davon betroffen sein soll.

 

Ich hoffe, das hilft Dir weiter :)

 

Gruß

 

Red Sector

[thorgood 10]

Bitte bitte bitte glaubt dem grizzly999, sonst sperrt sich hier der Nächste irgendwann aus seinem AD aus.

 

Auszug aus

http://www.microsoft.com/germany/ms/technetdatenbank/showDocument.aspx?xmlid=600247&doc=tcgch00.doc

----------------------------------------------------------------------------

2. Richtlinien auf Domänenebene

Alle Kontenrichtlinieneinstellungen der Gruppenrichtlinien werden auf Domänenebene angewandt.

In der vorgegebenen Default Domain Controller Policy gibt es für die Kontenrichtlinien,

Kontosperrungsrichtlinien und Kerberos-Richtlinien bereits Standardeinstellungen.

Bedenken Sie bei der Konfiguration dieser Richtlinien,

dass Microsoft Windows nur eine Domänen-Kontenrichtlinie erlaubt.

Und zwar die Kontenrichtlinie, die der Stammdomäne der Struktur zugewiesen ist.

Sie wird zur Standard-Kontenrichtlinie aller Windows-Systeme, die Mitglied der Domäne sind.

Die einzige Ausnahme dieser Regel ist die Definition einer weiteren Kontenrichtlinie für eine Organisationseinheit.

Sie wirkt sich auf die lokalen Richtlinien aller Computer der Organisationseinheit aus.

Die entsprechenden Einstellungen werden in diesem Kapitel besprochen.

----------------------------------------------------------------------------

 

thorgood

[grizzly999 11]

Hallo thorgood,

 

gutes Paper, das du da ausgegraben hast ;)

 

Vielleicht sagt es die Anmerkung auf der Seite 23 noch deutlicher, was ich schon geschrieben hatte:

 

--------------------

Anmerkung: Für Domänenkonten kann es pro Domäne nur eine Kontenrichtlinie geben. Diese muss in der Default Domain Policy, oder in einer neuen Richtlinie, die der Domäne zugewiesen ist und eine höhere Priorität als die Default Domain Policy hat, definiert sein. Domänencontroller holen die Kontenrichtlinien immer aus der Gruppenrichtlinie, die auf die Domäne zugewiesen ist. Auch wenn es für die Domänencontroller-OU eine andere Gruppenrichtlinie gibt.

-------------------

 

Scheint aber wie schon vor 2000 Jahren zu sein, Sticwort "ungläubige Thomase".

 

grizzly999

[Red Sector 10]

Hi Thorgood und Grizzly999,

 

vielleicht reden wir aneinander vorbei, denn: Was ihr hier behauptet hat doch nie jemand bezweifelt oder???

 

Es ist schon klar, dass Kontenrichtlinien nur auf Domänenebene zugewiesen werden können, aber darum ging es doch gar nicht. Die Frage war doch: Wie verhindere ich, dass eine (die!!!) Kontenrichtlinie auf ein bestimmtes Konto angewendet wird.

Dazu habe ich zwei Lösungen vorgestellt. Wollt ihr mir jetzt sagen, dass diese Lösungen falsch sind

 

Um es nochmals zu sagen: Die Tatsache, dass es nur eine Kontenrichtlinie pro Domäne geben kann wiederspricht nicht der Tatsache, dass man sie auf Benutzer-/Gruppen-Ebene außer Kraft setzen kann.

 

Gruß

Red Sector

(Ein ziemlich ungläubiger Thomas :D )

[grizzly999 11]

Die von dir vorgeschlagene Lösung A ist möglich.

 

Lösung B (Filterung von Gruppenrichtlinien auf Benutzerebene) ist zwar sachlich richtig, trifft aber nicht hier nicht zu, da Kontenrichtlinien auf Computerebene zugewiesen werden und nicht auf Benutzerebene. Damit sind sie für alle Domänenbenutzer, die sich in der Domäne anmelden, bindend.

Selbst eine Filterung auf Computerbasis würde lediglich die Kennwortrichtlinien der lokalen Benutzerkonten (SAM-Konten) betreffen, da Bneutzerkonten im ADS geführt werden und damit wieder die Domänenrichtlinien ziehen.

 

grizzly999

[brwic 10]

ich muss grizzly999 auch recht geben, war mit meiner antwort etwas vorschnell, da die einstellung auf der machine und nicht userseite laufen