Account Policy / Passwort Policy

[kosta88 2]

Hallo,

 

Mir ist unklar wie die Account Policy funktioniert - und zwar wie die Einstellungen in der GPO mit den Einstellungen der Benutzerkonten korrelieren.

 

Grundsätzlich kann ich ja in der Computer-Einstellungen in GPO Account Policies/Password Policy "Maximum Password Age" definieren.

Aber in Benutzerkonto Einstellungen kann ich den Haken "Passwort never expires" setzen.

 

Abgesehen davon dass das eine Computer-Einstellungen sind, und das andere ja die Benutzerkonto-Einstellungen, was wirkt sich da wie aus? Was nimmt Präsedenz?

 

Danke

 

 

[NilsK 2.930]

Moin,

 

die Computerrichtlinien gelten immer nur für die lokalen Konten des jeweiligen Rechners. Möchte man die Einstellungen für die Konten des AD vornehmen, dann geht das nur in einem GPO, das auf der Domänenebene definiert ist - und nur dort. GPOs auf OU-Ebene wirken nicht auf die Kennworteinstellungen von AD-Konten, sondern würden sich nur auf die lokalen Konten der Computer auswirken, deren Konten in der betreffenden OU gespeichert sind.

 

Aufgrund diverser Effekte sollten die Kennworteinstellungen für das AD ausschließlich in der Default Domain Policy definiert werden, nicht in einem eigenen GPO auf Domänenebene.

 

Die Einstellung "Kennwort läuft nie ab" bei einem Useraccount übersteuert für diesen einen Account das maximale Kennwortalter, das per Policy gesetzt ist. Gedacht ist das vor allem für Dienstkonten, damit nicht urplötzlich der SQL Server wegen eines Anmeldefehlers stehenbleibt. Alle anderen Einstellungen der Policy gelten dann aber weiter. Dies betrifft sowohl lokale als auch AD-Konten.

 

Gruß, Nils

 

bearbeitet 23. März 2018 von NilsK

[kosta88 2]

Hi Nils,

 

wunderbar - danke für die Antwort!