Benutzer kann Kennwort ändern

[Beatrice 10]

Hallo Zusammen,

Ich hoffe sehr, dass mir hier jemand einen Tipp geben kann.

Folgendes:

AD auf einem Windows Server 2003. Alle Benutzer haben grundsätzlich das Häcklein gesetzt bei "Benutzer kann das Kennwort nicht ändern" und "Kennwort läuft nie ab".

Soweit sogut. Eigentlich soll das auch genau so sein.

Nun gibt es aber ein paar wenige User, bei denen kann ich das Häcklein bei "Benutzer kann das Kennwort nie ändern" setzen und Übernehmen und nach ca. 20 Minuten ist der Hacken wie von Geisterhand wieder entfernt.

Ich kann keinen Unterschied zu anderen Usern feststellen und Gruppenrichtlinien gibt es keine.

Was ist hier falsch resp. läuft falsch?

Hat jemand eine Idee?

 

Vielen Dank

grüsse

Beatrice

[carlito 10]

Windows Server How-To Guides: Der AdminSDHolder - ServerHowTo.de

[Daim 12]

Servus,

 

Alle Benutzer haben grundsätzlich das Häcklein gesetzt bei "Benutzer kann das Kennwort nicht ändern" und "Kennwort läuft nie ab".

 

warum um Himmels Willen?

[Beatrice 10]

Warum?

Das ist eine sehr sehr lange Geschichte und sprengt den Rahmen hier.

 

Ich suche eine Lösung für mein Problem keine Abänderung der Firmenphilosophie, OK?

Oder anders gesagt, in unserer Firma sind Lösungen gefragt die so sind wie sie nach Vorgaben sein sollen, nicht wie man sie haben möchte.

[XP-Fan 216]

Hallo,

 

in welchen Gruppen ist ein "Problemuser" denn alles Mitglied ?

[NorbertFe 2.027]

Off-Topic:
Ich möchte kurz anmerken, dass das Ding Haken und nicht Hacken und erst recht nicht Harken heißt. ;)

Bye
Norbert

[Beatrice 10]

Es muss in die Richtung des AdminSDHolder gehen, wie es carlito angedeutet hat, zumindest klingt es danach.

Alle betroffenen User sind in der Domänen-Admin Gruppe oder einer Gruppe mit Adminähnlichen rechten. (Operator, Organisationsadmins usw.) Zumindest hab ich bis jetzt keine anderen gefunden. Ich kann die aber nicht aus dieser Gruppe nehmen nur, nur damit die das Passwort nicht ändern können.

Leider kenn ich mich mit dem AdminSDHolder überhaupt nicht aus.

Ich möchte eigentlich lediglich das Häcklein drin haben und sonst nichts.:(

[NorbertFe 2.027]

Es muss in die Richtung des AdminSDHolder gehen, wie es carlito angedeutet hat, zumindest klingt es danach.

Alle betroffenen User sind in der Domänen-Admin Gruppe oder einer Gruppe mit Adminähnlichen rechten. (Operator, Organisationsadmins usw.) Zumindest hab ich bis jetzt keine anderen gefunden.

 

Ach was.

 

Ich kann die aber nicht aus dieser Gruppe nehmen nur, nur damit die das Passwort nicht ändern können.

 

Wirst du aber müssen, denn die andere Lösung (Anpassen des AdminSDHolders) ist noch bekloppter als deine. ;)

 

Leider kenn ich mich mit dem AdminSDHolder überhaupt nicht aus.

 

Nimm die Leute aus den geschützten Gruppen und Ruhe ist. Gibt es einen vernünftigen Grund, warum die in solchen Gruppen stecken müssen und dann auch noch ihr kennwort nicht ändern dürfen?

 

Ich möchte eigentlich lediglich das Häcklein drin haben und sonst nichts.:(

 

Tja so ist das mit dem wollen/möchten. Nicht alles was man will geht auch sinnvoll.

 

Bye

Norbert

[carlito 10]

Leider kenn ich mich mit dem AdminSDHolder überhaupt nicht aus.

 

Hast du den im bereits erwähnten Link genannten MS KB Artikel Delegated permissions are not available and inheritance is automatically disabled gelesen?

[Stephan Betken 43]

Darf ich mal fragen, welchen Sinn es machen soll, einem Domänen-Admin das Recht zur Kennwort-Änderung zu nehmen? Allgemein hört sich die Umgebung irgendwie etwas abenteuerlich an...

[Beatrice 10]

Es gibt sogar Gründe und auch noch gute Gründe warum die da drin sein müssen, aber Ihr Kennwort nicht ändern dürfen.

Und wie ich schon erwähnt habe, die gründe hier zu nennen bringt nichts und würde den Rahmen sprengen

Das hat weder was mit bekloppt noch mit dumm zu tun.

 

Aber ich seh schon, ich scheine im falschen Forum zu sein.

Hier wird man nur angepöbelt.

Ich hab um Ideen und Hilfe gebeten nicht um pöbelige Antworten.

 

Trotzdem Danke, denen, die helfen wollten.

[Beatrice 10]

Hallo Carlito,

ja ich hab den Bericht gelesen. Werd aber nicht sooo ganz schlau draus. Aber es hört sich wirklich in die Richtuung an. Hab zwar inwischen Testhalber mal einem Druckadmin den Domänen-Admin weggenommen. Eigentlich hätte er nach mir jetzt nichts mehr drin, was laut Bericht den Haken wieder wegmachen würde. Hat aber nichts gebracht. Der Haken war wieder weg nach 20 Min.

[carlito 10]

Ich gebe zu, das Thema AdminSDHolder kann verwirrend sein, wenn man sich zum ersten Mal damit beschäftigt. Eine Google Suche zu weiteren Artikeln hilft sicherlich. Stichworte: AdminSDHolder; admincount=1. Bsp.: AdminSDHolder - or where did my permissions go? und MSXFAQ.DE - AdminSDHolder, insbesondere die am Ende dort verlinkten KB Artikel.

[Beatrice 10]

Vielen herzlichen Dank. Ich versuche mich im Moment damit zu befassen. Wird sicher etwas dauern. Ist eben wirklich nicht das einfachste Thema. Zum Glück hab ich noch einen Serverspezi im Rücken. Hoffe dass er mir in dieser Hinsicht auch noch etwas Helfen kann. Aber Dein Tipp ist vermutlich wirklich Goldrichtig. Danke

Beatrice

[NilsK 2.930]

Moin,

 

Es gibt sogar Gründe und auch noch gute Gründe warum die da drin sein müssen, aber Ihr Kennwort nicht ändern dürfen.

 

das mag aus eurer Sicht so sein. Aus der Sicht von Windows-Spezialisten mit Erfahrung gibt es aber vor allem gute Gründe, die Kennwortsicherheit nicht einzuschränken - insbesondere bei hochprivilegierten Konten. Darauf nicht hinzuweisen, wäre fahrlässig.

 

Das hat weder was mit bekloppt noch mit dumm zu tun.

 

Die Wortwahl mag unglücklich gewesen sein. Zu kritisieren ist eure Konfiguration aber allemal.

 

Ich hab um Ideen und Hilfe gebeten

 

Die hattest du zu dem Zeitpunkt auch bereits bekommen, als die Kritik geäußert wurde.

 

Gruß, Nils