leporello 10 Geschrieben 13. November 2002 Melden Teilen Geschrieben 13. November 2002 Hallo an alle Forum-Mitglieder, ich mache gerade einige praktische Übungen im Bereich Sicherheitseinstellungen in meiner w2k Server (SP2) Testumgebung und bin in diesem Zusammehhang auf folgendes Problem gestoßen: Ist-Zustand: Domäne example.net mit dem DC server1 client1 (w2k Pro) client1 ist Mitglied von OU Sales User Jane Doe ist Mitglied von OU Sales Aufgabe: Einstellung einer Überwachungsrichtline (Anmeldeversuch überwachen, fehlgeschlagen) für client1 Aktion: Einstellung der Richtlinie im (einzigen) GPO im Container Sales. Anmeldeversuch von Jane Doe an example.net mit falschem PW. Ergebnis: Fehlgeschlagene Anmeldung wird im Ereignisprotokoll nicht aufgezeichnet. Weder secedit /refreshpolicy MACHINE_POLICY noch der Reboot beider Rechner zeigen Wirkung. Fehler-Tracking: Wird die Überwachungsrichtlinie in der Default Domain Policy vorgenommnen, erfolgt die Aufzeichnung im Ereignisprotokoll erwartungsgemäß. Mir ist klar, daß w2k Server in einer Domäne nur eine Domänenkontorichtrichtline zuläßt, so daß Kennwortrichtlinien und Kontosperrungsrichtlinien nur auf Domänen- nicht aber auf OU-Ebene eingestellt werden können. Ich habe leider keine Quelle dafür gefunden, daß dies auch für lokale Richtlinien (Überwachungsrichtlinien) Geltung hat. Der Resource-Kit (Planning Distributed Security, Group Policy Security Settings) gibt den Hinweis "... Of the security policy areas, Account policies and Public Key policies have domain-wide scope. All other policy areas can be specified at level of the organizational unit." Demnach müßte es für die Überwachungsrichtline funktionieren ... leider aber bei meinen Versuchen nicht. Vielleicht hat jemand eine Idee, wo der Fehler liegt. leporello Zitieren Link zu diesem Kommentar
Christoph82 10 Geschrieben 13. November 2002 Melden Teilen Geschrieben 13. November 2002 Setze die Policy direkt auf der OU an! Und die der Domain kickst du raus! Dann dürfts 100% funzen! MFG Zitieren Link zu diesem Kommentar
leporello 10 Geschrieben 13. November 2002 Autor Melden Teilen Geschrieben 13. November 2002 @Christoph82 Vielleicht habe ich mich undeutlich ausgedrückt: Die Überwachungsrichtline wird im GPO der OU Sales definiert. Zu diesem Zeitpunkt ist die Überwachungsrichtlinie in der Default Domain Police nicht definiert. Für das Fehler-Tracking wurde die gleiche Einstellung in der Default Domain Police gesetzt und in der Organisationseinheit Sales deaktiviert. leporello Zitieren Link zu diesem Kommentar
leporello 10 Geschrieben 14. November 2002 Autor Melden Teilen Geschrieben 14. November 2002 1. gpresult /c Ergebnis: The computer received "Security" settings from these GPOs Default Domain Policy Sicherheitsrichtlinie OU sales Sicherheitsrichtlinie von GPO OU sales wird somit auf client1 angewendet. Jedoch bewirkt die Definition der Überwachungsrichtlinie keinen Eintrag im Sicherheitsprotokoll des DC. 2. lokale Anmeldung an client1 Ergebnis: Beim lokalen Anmeldversuch an client1 mit falschem PW wird das Ergeignis im lokalen Sicherheitsprotokoll von client1 aufgezeichnet. Schlußfolgerung: Es scheint, als gelte für lokale Richtlinien, Überwachungsrichtlinien die gleiche Regel wie für Kontorichtlinien: 1. Kontorichtlinien (Überwachungsrichtlinien) haben nur Auswirkungen auf Domänenkonten, wenn Sie auf Domänenebene festgelegt werden. 2. Ausnahme hiervon: Bei Konfiguration einer Kontorichtlinien (Überwachungsrichtlinie) für eine Organisationseinheit wirken sich die Einstellungen der Überwachungslinie auf die lokalen Richtlinien aller Computer aus, die sich innerhalb dieser Organisationseinheit befinden. Zur Kontorichtlinie wird dies in dem Knowlegebase im Artikeln Q255550 - Configuring Account Policies in Active Directory dargelegt. leporello Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.