RODC - Kennwortrichtlinie

[Lawe 10]

Hallo Zusammen,

bei einem RODC wird die Anmeldung falls die Kennwörter nicht zwischengespeichert sind ja zu einem Normalen DC weitergeleitet. Auf diesem gelten ja die normalen Kennwortrichtlinien was sperren usw. betrifft.

 

Ist es per GPO oder so Möglich dass für Anmeldungen die über den RODC kommen andere Kennwortrichtlinien haben?

 

Gruß Lawe

[dmetzger 10]

1. Du erstellst eine Sicherheitsgruppe, für die Du die Zwischenspeicherung der Kennwörter auf dem betreffenden RODC zulässt.

2. Du erstellst eine granulare Kennwortrichtlinie (PSO) für diese Sicherheitsgruppe.

 

Diese Kennwortrichtlinie gilt für diese Gruppe bei Anmeldung an allen Domänencontrollern. Was nicht funktioniert, sind alternative Kennwortrichtlinien für Benutzer abhängig von Domänencontroller, an denen die Anmeldung erfolgt.

[NilsK 2.930]

Moin,

 

Ist es per GPO oder so Möglich dass für Anmeldungen die über den RODC kommen andere Kennwortrichtlinien haben?

 

wozu sollte das gut sein?

 

Gruß, Nils

[Lawe 10]

Moin,

 

 

 

wozu sollte das gut sein?

 

Gruß, Nils

Damit z.B. per Brute Force nicht willkürlich Konten gesperrt werden. Ich würde dann die Richtlinie so anpassen, dass nach 5 Versuchen das Konto für 30min gesperrt ist und danach automatisch wieder freigeschaltet wird. Dies passt natürlich nicht zu den bisherigen richtlinien.

[NilsK 2.930]

Moin,

 

abgesehen davon, dass das die Kontensperrungsrichtlinie ist und nicht die Kennwortrichtlinie: Wo soll denn da der Sinn liegen?

 

Und nochmal davon abgesehen: Kontensperrung nach nur fünf Fehlversuchen ist quasi eine Einladung, DOS-Angriffe auszuführen.

 

Gruß, Nils

[Lawe 10]

Mhhh Ok. Du meinst also einfach so lassen wie es ist ;-) Da ich den RODC nun in eine zweite dmz verschoben habe sollte da auch reichen. Zum Thema RODC und Sicherheit in der dmz findet man leider nicht viel detailliertes und Erfahrungsberichte...

[Lawe 10]

1. Du erstellst eine Sicherheitsgruppe, für die Du die Zwischenspeicherung der Kennwörter auf dem betreffenden RODC zulässt.

2. Du erstellst eine granulare Kennwortrichtlinie (PSO) für diese Sicherheitsgruppe.

 

Diese Kennwortrichtlinie gilt für diese Gruppe bei Anmeldung an allen Domänencontrollern. Was nicht funktioniert, sind alternative Kennwortrichtlinien für Benutzer abhängig von Domänencontroller, an denen die Anmeldung erfolgt.

 

Danke, teste ich gleich morgen.

[NilsK 2.930]

Moin,

 

mir ist nicht ganz klar, was du da eigentlich machst. Vielleicht kannst du ja bei Gelegenheit mal kundtun, was dein Ziel ist und welches Design du zu verwirklichen versuchst.

 

Gruß, Nils

[dmetzger 10]

Diese Kennwortrichtlinie gilt für diese Gruppe bei Anmeldung an allen Domänencontrollern.

 

Nach der Tageshektik möchte ich hier einen ruhigen Nachtrag anbringen.

 

Falls Du mehrere Standorte mit RODCs hast, solltest Du nicht für alle eine gemeinsame Sicherheitsgruppe mit erlaubter Zwischenspeicherung konfigurieren, sondern für jeden Standort mit RODCs eine dezidierte Sicherheitsgruppe für die RODCs an diesem Standort. Jede dieser Gruppe wird mit einem granularen Kennwortrichtlinie verknüpft, die wiederum die immer gleiche sein kann.

 

Wenn Du für alle RODCs an verschiedenen Standorten die gleiche Sicherheitsgruppe für die Zwischenspeicherung von Kennwörtern verwendest, müsstest Du für alle Mitglieder dieser Sicherheitsgruppe neue Kennwörter erstellen, wenn ein RODC lange Beine bekommt. Bei standortspezifischen Gruppen trifft es nur die Mitglieder der Gruppe eines Standortes.

[Lawe 10]

Okay hier erst mal was zur Struktur:

 

Internet <-> dmz <-> rodc_dmz <-> Intranet

 

Die Netzte sind so abgesichert dass eine Kommunikation nur zum jeweils nächsten Netz kann. Zusätzlich dürfen nur bestimmte Systeme aus der dmz überhaupt auf die rodc_dmz.

 

In der dmz stehen X Applikations und Webserver. In der rodc_dmz steht nur der rodc. Geplant ist dass sich interne user die im AD sind an den Applikations und Webservern mit ihrem internen AD Konto an diesen Authentifizierne können. Zusätzlich werden Später noch ein paar Externe Benutzer dazu stoßen die wir ebenfalls über das ADS dann Pflegen möchten.

 

Ich glaube was die Kennwortrichtlinien und Kennwortsperrrichtlinien betrifft ist es am besten wenn ich das so lasse wie wir es haben.

[dmetzger 10]

Darüber wurde ja hier in Deinem anderen Thread bereits diskutiert:

 

http://www.mcseboard.de/active-directory-forum-79/rodc-dmz-171509.html

 

RODCs im Perimeter sind noch immer keine gute Idee. Wir haben kürzlich in Redmond ausführlich darüber diskutiert, und wir raten Kunden von solchen Konfigurationen ab. Wahrscheinlich deshalb gibt es auch wenig Dokumentation zu diesem Thema.

[Lawe 10]

Darüber wurde ja hier in Deinem anderen Thread bereits diskutiert:

 

http://www.mcseboard.de/active-directory-forum-79/rodc-dmz-171509.html

 

RODCs im Perimeter sind noch immer keine gute Idee. Wir haben kürzlich in Redmond ausführlich darüber diskutiert, und wir raten Kunden von solchen Konfigurationen ab. Wahrscheinlich deshalb gibt es auch wenig Dokumentation zu diesem Thema.

Jep, da hast du recht. Wir suchen gerade noch alternativen. Solange müssen wir uns leider so damit behelfen. ist von MS Seite eigentlich etwas in diese Richtung geplant?

[dmetzger 10]

Es gibt die Active Directory Verbunddienste. Diese werden in Zukunft wohl wichtiger werden und weitergehende Szenarien abdecken.

 

Claims-Aware Applications

How to use ADFS to turn MOSS 2007 into a claims aware application - Microsoft SharePoint Team Blog - Site Home - MSDN Blogs

Active Directory Federation Services (AD FS) Step-by-Step Guide

AD FS in Windows Server 2008 R2 Step-by-Step Guide