mcdaniels 33 Geschrieben 26. September 2012 Melden Teilen Geschrieben 26. September 2012 (bearbeitet) Hallo, ich beschäftige mich mittlerweile den halben Tag damit, die Kontosperrungsrichtlinien per GPO korrekt einzustellen, damit diese am Client auch umgesetzt werden. Die GPO wurde auf Domänenebene erstellt und ist als Nr. 2 (nach der Default Domain Policy) gereiht. Führe ich ein gpresult als Standarddomänenbenutzer auf einem Win7 oder XP Client aus, bekomme ich: Angewendete Gruppenrichtlinienobjekte -------------------------------------- EDV Default Domain Policy Kontosperrung wobei folgende Einstellungen in "Kontosperrung" getätigt wurden: Computerkonfig -> Windowseinstellungen -> Sicherheitseistellungen -> Kontorichtlinien -> Kontosperrungsrichtlinien: Dort dann: Kontosperrungsschwelle 3 ungültige Anmeldeveruche Kontosperrdauer: 0 (Sperre sollte also vom Admin aufgehoben werden können) Zurücksetzungsdauer: 30 Minuten Leider jedoch kann ich mich zb sowohl von einem Windows XP (aktuellster Patchstand) als auch einem Windows 7 Pro x - fach "falsch" anmelden und der Useraccount wird nicht gesperrt. Im Eventlog befinden sich keine Fehler. DNS und AD laufen fehlerfrei. Führe ich rsop mit einem Adminuser (Domänenadmin) aus, sehe ich jedoch , dass die Kontosperrschwelle, Kontosperrdauer, Zurücksetzungsdauer auf nicht konfiguriert stehen. Müsste das nicht konfiguriert sein? Btw. kann es sein dass die Default Domain Policy mir die Kontosperrrichtlinien überschreibt? Update: Hatte da wohl nen ordentlichen Denkfehler "drin". Die Policy muss vom DC umgesetzt werden (Danke Technetuser!), da ja der DC die Authentifizierung macht. LG Daniel bearbeitet 26. September 2012 von mcdaniels Zusätzliche Infos Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 27. September 2012 Melden Teilen Geschrieben 27. September 2012 Update: Hatte da wohl nen ordentlichen Denkfehler "drin". Die Policy muss vom DC umgesetzt werden (Danke Technetuser!), da ja der DC die Authentifizierung macht. Hier der Thread aus dem Technet: Kontosperrungsrichtlinie wird nicht übernommen Es wäre zukünftig schön, auf doppelte Threads hinzuweisen. Danke. Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 27. September 2012 Autor Melden Teilen Geschrieben 27. September 2012 Hi sunny61, sorry war keine Absicht. LG Daniel Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 30. September 2012 Melden Teilen Geschrieben 30. September 2012 Hi, die Anwendungsreihenfolge der Gruppenrichtlinien ist vermutlich falsch herum. Da in der Default Domain Policy vermutlich andere Einstellungen definiert sind, überschreibt diese die Kontensperrungs-GPO: Angewendete Gruppenrichtlinienobjekte-------------------------------------- EDV Default Domain Policy Kontosperrung Du müßtest also die Priorität der "Kontosperrung" GPO hochsetzen. Ansonsten noch der Hinweis, daß für Domänenkonten irrelevant ist, ob die Richtlinie auf den Mitglieds-Computern angewendet wurde. Sie muß auf den Domain Controllern angewendet werden, denn dort werden die Account geprüft / gesperrt usw. P.S.: Ein besseres Namenskonzept für die GPOs (z.B. mit Versionsnummer, Hinweis ob Computer oder Benutzereinstellungen usw.) ist auch meist langfristig sinnvoll. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 3. Oktober 2012 Autor Melden Teilen Geschrieben 3. Oktober 2012 Servus, Ich habe das Ganze jetzt direkt in der Default Domain Policy entsprechend konfiguriert: Computerkonfig > Windows Einstellungen > Kontosperrungsrichtlinien > Kontensperrungsschwelle > 3 ungültige Anmeldeversuche Kontosperrdauer 0 Zurücksetzdauer des Kontosperrungszählers > 30 Minuten Selbst wenn ich mich > 3x mit fehlerhaften Daten (Passwort) anmelde, wird der User nicht gesperrt. Ich bekam auf Technet den Hinweis dass, wenn eine Kontensperrungsschwelle definiert ist, die Kontosperrdauer größer oder gleich der Zurücksetzungszeit sein muss. D.h. wenn die Schwelle (Kontosperrdauer = 0), dann müsste an sich auch die Rücksetzdauer des KTO Sperrungszählers auf 0 sein. Allerdings ist eine Rücksetzdauer von 0 nicht möglich (erst ab Wert 1 ist ok). D.h. ich könnte zb das Konto für 30 Minuten sperren (Kontosperrdauer = 30), damit wären die Werte für die Rücksetzdauer des KTO Sperrzählers und der KTO Sperrdauer gleich groß. Wie schaffe ich es, dass das KTO aber gesperrt bleibt bis ein Admin die Sperre aufhebt. (Diese Konfiguration wäre dann ja gar nicht möglich)? LG Daniel Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 3. Oktober 2012 Melden Teilen Geschrieben 3. Oktober 2012 Moin, die Anwendungsreihenfolge der Gruppenrichtlinien ist vermutlich falsch herum. Da in der Default Domain Policy vermutlich andere Einstellungen definiert sind, überschreibt diese die Kontensperrungs-GPO: das schon, aber solche Einstellungen sollte man wegen hart codierter Abhängigkeiten sogar nur in der DDP setzen: faq-o-matic.net » Besonderheiten der AD-Kennwortrichtlinie Kontosperrdauer 0[/Quote] Meiner Erinnerung nach heißt das: Keine automatische Entsperrung, richtig? Müsste im Dialogfenster auch so angegeben werden. Zurücksetzdauer des Kontosperrungszählers > 30 Minuten OK. Selbst wenn ich mich > 3x mit fehlerhaften Daten (Passwort) anmelde, wird der User nicht gesperrt. Welcher User genau? Ich bekam auf Technet den Hinweis dass, wenn eine Kontensperrungsschwelle definiert ist, die Kontosperrdauer größer oder gleich der Zurücksetzungszeit sein muss. Wäre mir neu und glaube ich nicht. Hast du mal den genauen Link und den genauen Wortlaut? Abgesehen davon, rate ich grundsätzlich von Kontensperrungen ab, weil sie ein super Einfallstor für einfachstes DOS sind. Aber das ist ein anderes Thema. Gruß, Nils Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 3. Oktober 2012 Melden Teilen Geschrieben 3. Oktober 2012 Wäre mir neu und glaube ich nicht. Hast du mal den genauen Link und den genauen Wortlaut? Domain Level Account Policies "If the Account lockout threshold setting is defined, the Account lockout duration must be greater than or equal to the value for the Reset account lockout counter after setting." Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 3. Oktober 2012 Melden Teilen Geschrieben 3. Oktober 2012 Guten Abend, das schon, aber solche Einstellungen sollte man wegen hart codierter Abhängigkeiten sogar nur in der DDP setzen: faq-o-matic.net » Besonderheiten der AD-Kennwortrichtlinie Du hast Recht. Ich wollte diese Fragestellung nicht auch noch öffnen. Meiner Erinnerung nach heißt das: Keine automatische Entsperrung, richtig? Müsste im Dialogfenster auch so angegeben werden. Genau, "0" heißt "keine automatische Entsperrung": This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it. If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time. Welcher User genau? Nils stellt die vermutlich entscheidende Frage: Wenn Du es mit dem RID 500 Admin versuchst, wird dieser zumindest standardmäßig nicht gesperrt. Probiere es mit einem normalen Benutzer. Abgesehen davon, rate ich grundsätzlich von Kontensperrungen ab, weil sie ein super Einfallstor für einfachstes DOS sind. Aber das ist ein anderes Thema. +1 Domain Level Account Policies"If the Account lockout threshold setting is defined, the Account lockout duration must be greater than or equal to the value for the Reset account lockout counter after setting." Das bezieht sich nur auf die Konstellation, wenn eine "lockout duration" >0 definiert ist. Viele Grüße olc Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 8. Oktober 2012 Autor Melden Teilen Geschrieben 8. Oktober 2012 Hallo zusammen, danke für die ausführlichen Antworten. Der User der sich anmeldet ist ein Standard Domain - User. Wie ich heute festgestellt habe, funktioniert die Sperrung offenbar nun. (ich habe aber keine Ahnung weshalb das nun so ist. Ich kann mir nicht vorstellen dass das AD so lange "gebraucht" hat, da es sich um eine simple Domäne mit 2 DCs handelt.) Abgesehen davon, rate ich grundsätzlich von Kontensperrungen ab, weil sie ein super Einfallstor für einfachstes DOS sind. Aber das ist ein anderes Thema. Du meinst also, dass mir alle User abgedreht werden könnten... Was wäre die Alternative? (gar keine Kontosperrung in Kombination mit entsprechend sicheren Passwörtern bzw. einer guten Password Policy?) Vielen Dank! LG Daniel Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 8. Oktober 2012 Melden Teilen Geschrieben 8. Oktober 2012 Was wäre die Alternative? (gar keine Kontosperrung in Kombination mit entsprechend sicheren Passwörtern bzw. einer guten Password Policy?) Ja, oder Zertifikatsbasierende Anmeldung. ;) Bye Norbert PS: Ich könnte jetzt von Passwortfiltern anfangen, aber olc kennt die Diskussion schon. ;) Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 8. Oktober 2012 Melden Teilen Geschrieben 8. Oktober 2012 Moin, Ja, oder Zertifikatsbasierende Anmeldung. ;) Genau. :) Falls das "nicht so einfach" geht, mußt Du den Nutzen einer Kontensperrung gegen das Risiko bewerten. Und ggf. ein IPS System und entsprechende Auditierung implementieren. Rein technisch kann man das Problem nur "managen", nicht jedoch vollständig lösen. PS: Ich könnte jetzt von Passwortfiltern anfangen, aber olc kennt die Diskussion schon. ;) :D :jau: Viele Grüße olc Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 9. Oktober 2012 Autor Melden Teilen Geschrieben 9. Oktober 2012 Danke! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.