Benutzer an Kennwortrichtlinie vorbei anlegen

[HerrPaschulke 10]

Hi,

 

ich habe eine W2K3R2 Domain, mit einigen W2K8R2 DC drin, Functionlevel ist aber 2003 (Domain und Gesamtstruktur). Wir verwenden eine Kennwortrichtlinie (ich weiss für mehrere Kennwortrichtlinien brauche ich separate Domains unter 2003 oder ne 2008er Nativ Dimain). Wir haben eine bestimmte Konstellation wo wir gerne einige Benutzer an der Kennwortrichtlinie vorbei anlegen würden. Klar könnte ich in meiner Gruppenrichtlinie die Kennwortrichtlinie deaktivieren und die Benutzer anlegen, wenn das ein einmaliger Vorgang wäre kein Problem, aber ich denke es wird ein wiederkehrender Vorgang werden. Ich versuche eine Alternative zu einem Domain-Update auf komplett 2008R2 bzw. einer zweite Domain zu finden, wenn es eine Alternative überhaupt gibt. Vielleicht hat ja jemand hier so was schon mal realisiert. :D

[NorbertFe 2.027]

Das geht nicht. Entweder die Möglichkeiten die du erwähntest (Update und Verwendung von PSO, oder mehrere Domains oder DEaktivieren der Richtlinie). Letzte Möglichkeit: Verwendung von 3rd Party Tools.

 

Bye

Norbert

[HerrPaschulke 10]

Letzte Möglichkeit: Verwendung von 3rd Party Tools.

 

Bye

Norbert

 

Hast da zufällig den ein oder anderen Namen eines Tools?

[NilsK 2.930]

Moin,

 

Norbert meint sicher einen separaten Kennwortfilter, d.h. du würdest diesem die Arbeit geben und die Windows-Kennwortrichtlinie abschalten.

 

faq-o-matic.net Flexible Kennwortrichtlinien

 

Wozu soll es gut sein, Konten an der Kennwortrichtlinie vorbei anzulegen? Das kompromittiert die Sicherheit der ganzen Umgebung.

 

Gruß, Nils

[NorbertFe 2.027]

Genau soetwas meinte ich.

Altus Passfilt Pro heißt inzwischen nFront Password Enforcer und ist hier zu finden:

nFront Security, Inc :: Where Security And Solutions Intersect

Alternativ gibt es bei Specops ebenfalls noch etwas:

Password Policy - Stronger Windows Passwords | Specops Password Policy

 

Bye

Norbert

[HerrPaschulke 10]

ok danke euch, jetzt habe ich ja drei Optionen. Wobei ich aktuell zu einer zweiten Domain tendiert, genau wegen dem Sicherheits-Thema NilsK. Danke euch.

[NorbertFe 2.027]

Um dir dabei jetzt eine hilfreiche Auskunft geben zu können, müßte man erstmal die genauen Gründe für deine Anforderung kennen. Denn eine zweite Domäne ist sicher ein Weg, aber der bedeutet auch, dass du zwei Serverlizenzen und damit zwei Windows Server Installationen mehr betreuen mußt. Und von gestiegener Komplexität bei der Administration und Rechtevergabe will ich mal noch nicht anfangen. ;)

 

Bye

Norbert

[HerrPaschulke 10]

Um dir dabei jetzt eine hilfreiche Auskunft geben zu können, müßte man erstmal die genauen Gründe für deine Anforderung kennen. Denn eine zweite Domäne ist sicher ein Weg, aber der bedeutet auch, dass du zwei Serverlizenzen und damit zwei Windows Server Installationen mehr betreuen mußt. Und von gestiegener Komplexität bei der Administration und Rechtevergabe will ich mal noch nicht anfangen. ;)

 

Bye

Norbert

 

wollte eigentlich ne neue Sub-Domain anlegen und keine zusätzlichen Server installieren, geht doch auch oder?

[NorbertFe 2.027]

Nein eine Subdomain braucht logischerweise einen DC. Verständlich soweit, oder? ;) Der zweite DC ist aber sinnvoll, denn wenn dein einer DC der Subdomain abkackt, dann ist die Subdomain wech...

 

Bye

Norbert

[dmetzger 10]

Wenn HerrPaschulke keine zusätzlichen Server/DCs installieren und keine Aktualisierung der bestehenden W2K3R2 DCs durchführen möchte, bleiben ihm nur die erwähnten Dritthersteller-Werkzeuge.

 

Die von NorbertFe angeführten Argumente betreffend zusätzlichem Administrationsaufwand sollten nicht leichten Herzens weggewischt werden. Vor allem, wenn sich die betreffenden Benutzer an vielen verschiedenen Standorten anmelden sollen.

 

Ich hoffe, es geht bei diesen betreffenden Benutzern nicht darum, dass sie Einfach-Passwörter statt komplexer verwenden sollen/dürfen, sondern besonders sichere.

[NilsK 2.930]

Moin,

 

Ich hoffe, es geht bei diesen betreffenden Benutzern nicht darum, dass sie Einfach-Passwörter statt komplexer verwenden sollen/dürfen, sondern besonders sichere.

 

Off-Topic:

die Hoffnung weist dich als Optimisten aus ;), das ist aber doch eher unwahrscheinlich - besonders sichere Kennwörter dürften kaum mit der Windows-Richtlinie in Konflikt stehen, die ausgespruchen "lulli" ist.

 

Gruß, Nils

[HerrPaschulke 10]

Nein eine Subdomain braucht logischerweise einen DC. Verständlich soweit, oder? ;) Der zweite DC ist aber sinnvoll, denn wenn dein einer DC der Subdomain abkackt, dann ist die Subdomain wech...

 

Bye

Norbert

 

ach so, das habe ich auch ausser Acht gelassen, dann brauche ich einige, für jeden Standort einen :shock:

[NorbertFe 2.027]

Erklärst du vielleicht einfach nochmal, warum du meinst sowas mit Subdomains regeln zu müssen? Mir scheint, du hast dich jetzt irgendwie grad festgelegt ohne dir über die Konsequenzen im Klaren zu sein. ;)

 

Bye

Norbert

[dmetzger 10]

Off-Topic:

die Hoffnung weist dich als Optimisten aus ;), das ist aber doch eher unwahrscheinlich - besonders sichere Kennwörter dürften kaum mit der Windows-Richtlinie in Konflikt stehen, die ausgespruchen "lulli" ist.

 

Wahrscheinlich hast Du Recht, ich bin eine zuversichtliche Person :cool:

 

Ich denke nur laut nach: Wenns in diesem Fall darum ginge, dass vor allem die Chefs keine komplexen Passwörter möchten, und man darum eine Subdomäne mit vielen zusätzlichen Domänencontrollern an vielen Standorten errichtet - nein, das kann nicht sein! Ich meine, das klingt ja wahnwitzig. :confused: Das wäre ein Paradebeispiel, wie Vorgesetzte (mit Zugriff auf wahrscheinlich besonders schützenswerte Daten) die IT-Sicherheit aufweichen und den Schutz ihres Geschäfts für den eigenen Komfort vernachlässigen, während die IT-Verantwortlichen des Unternehmens gehorsam und mit allen Mitteln folgen. Aber an so was mag ich als Optimist keineswegs glauben. :rolleyes:

[HerrPaschulke 10]

bei uns läuft eine Analyse für eine Portauthentifizierung und den Einsatz von RADIUS (ich bin da nicht so tief drin, macht bei uns eine andere Fraktion). Jedenfalls will man Drucker und andere Geräte die nicht im AD angelegt sind im AD anlegen, offensichtlich Username = MAC-Adresse & Passwort = MAC-Adresse. Also Username = Passwort.

 

Das ist das was dahinter hängt. Einmalig könnte man natürlich unsere vielen Drucker und Geräte anlegen aber im täglichen Business jedes mal die Kennwortrichtlinie abschalten müssen um einen "User" anzulegen ist eigentlich nicht zielführend.

Das Thema mit der Sicherheit darf natürlich auch nicht links liegen gelassen werden.

 

Ich wollte mich einfach mal schlau machen wie so was zu realisieren ist. AD seitig gibt es eben die 2-3 Möglichkeiten. Aber vielleicht muss man das ganze Konzept nochmal überarbeiten (wie gesagt, andere Fraktion ;-)