Jump to content

Default Domain Policy


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hallo zusammen,

wir arbeiten hier mit einer windows 2003 domain und sollen eine passwort policy ( default domain policy ) setzen.

mit der wirkung, das wenn man das passwort 5mal falsch eingegeben hat der account des users gesperrt wird.

wir haben natuerlich auch serveraccounts die niemals einen solchen change abbekommen duerfen .. das heisst .. wenn ein user diesen account-namen kennen wuede .. koennte er ... wenn er gemein ist diesen gleich 5 mal falsch eintippen und wir haetten ein grosses problem.

meine frage ist:

kann man useraccounts aus dieser policy aushebeln ? also mit dem haken ( richtlinien vererbung deaktivieren ) ?

ich habe folgendes vor .. eine OU basteln und da accounts reinstecken die nicht davon betroffen werden sollen .. dann den haken ( richtlinien vererbung deaktivieren ) setzen und hoffen das es klappt.

 

hat schon jemand erfahrungen damit gemacht ? .. wir haben leider kein testlab und ich kann nur an der domain selbst regeln setzen ..

 

danke fuer die infos

Link zu diesem Kommentar

ich habe folgendes vor .. eine OU basteln und da accounts reinstecken die nicht davon betroffen werden sollen .. dann den haken ( richtlinien vererbung deaktivieren ) setzen und hoffen das es klappt.

Hi,

 

wie wäre es, wenn du eine OU machst und dort die User reinsteckts die von der Passwort Policy betroffen sein sollen.

Da brauchst du nämlich gar nicht in der Default Domain Policy rumzuhantieren, sondern in der GP der OU.

Link zu diesem Kommentar

Hm, hast du deine normalen USER in der selben OU wie die Serveraccounts? Wenn ja, dann schlecht. Dann solltest du deine User in eine seperate OU packen und dort die Policy drauf hängen.

 

Alternativ kann man das Flag "UserCannotChangePassword" an den betreffenden Accounts setzen, dann können für diese Accounts auch keine Kennworte geändert werden.

 

/Edit: zu langsam ;)

Link zu diesem Kommentar

:rolleyes:

 

Sorry, aber Domain-Accounts sind immer von der Policy betroffen!

 

Wenn man PW-Richtlinien für OUs ändert, gilt das nur für LOKALE Accounts auf den Computer, deren Accounts dann in die OU zu verschieben sind.

 

Natürlich kann man die User accounts mit der von PhoenixCP erwähnten Einstellung anpassen.

 

Christoph

 

http://www.microsoft.com/technet/security/topics/serversecurity/tcg/tcgch02n.mspx

 

Note: For domain accounts, there can be only one Account policy per domain. The Account policy must be defined in the Default Domain Policy or in a new policy that is linked to the root of the domain and given precedence over the Default Domain Policy, which is enforced by the domain controllers that make up the domain. A domain controller always pulls the Account policy from the root of the domain, even if there is a different Account policy applied to the OU that contains the domain controller. The root of the domain is the top level container of the domain, not to be confused with the root domain in a forest; the root domain in a forest is the top level domain within that forest.

Link zu diesem Kommentar

@Necron,

 

ich dachte die Richtlinie wirkt sich auf Domänen-Controller, Server bzw Computer und nicht auf einzelne Userkonten aus ?

 

Wir haben die Richtlinie so eingestellt, dass das Konto nach 30 Min. automatisch entsperrt wird.

 

Meiner Meinung nach kann das Konto "Administrator" nicht dauerhaft gesperrt werden.

Also eigentlich nicht so schlimm ?

 

Und da man hinterher aus dem Sicherheitsprotkoll rausbekommt, welcher PC das Konto gesperrt hat...

 

-Zahni

Link zu diesem Kommentar

also wenn ich recht verstehe ...

ich setze eine default domain policy die natuerlich alle accounts betrifft ... diese werden in den maschinensettings bestimmt .. also .. nach 5 mal falscheingabe des passworts soll folgendes passieren !

 

Kontensperrungsschwelle 5 ungültigen Anmeldeversuchen

Kontosperrdauer 10 minuten

Zurücksetzungsdauer des Kontosperrungszählers 5 minuten

 

ist es den moeglich accounts via OU in ausnamen zu setzen ?? da es sich ja bei den folgenden einstellungen um rechner einstellungen handelt.

das ganze muesste ich auf OU ebene wieder auf personen bezogene logins gesetzt werden .. oder besser ,, nicht jeder account soll davon betroffen sein .. da es sich ja um eine default domain, und nicht um eine OU richtlinie handelt ... ich raffs noch nicht.

Link zu diesem Kommentar
Hm, hast du deine normalen USER in der selben OU wie die Serveraccounts? Wenn ja, dann schlecht. Dann solltest du deine User in eine seperate OU packen und dort die Policy drauf hängen.

 

Alternativ kann man das Flag "UserCannotChangePassword" an den betreffenden Accounts setzen, dann können für diese Accounts auch keine Kennworte geändert werden.

 

/Edit: zu langsam ;)

 

 

hi,

nein, ich habe die serveraccounts nicht in den gleichen OUs wie die useraccounts .. aber ich weiss nicht ob die serveraccounts in die ausnamen gelangen wenn ich eine default domain policy setze ... man kann diese einstellung nur in der default domain policy angeben ..

 

Richtlinie Sicherheitseinstellung

Kontensperrungsschwelle 0 ungültigen Anmeldeversuchen

Kontosperrdauer Nicht verfügbar

Zurücksetzungsdauer des Kontosperrungszählers Nicht verfügbar

 

damit sind alle accounts der domain betroffen .. ich habe nur angst, das wenn einer schlimmes machen moechte und er nen account eines serverusers kennt .. er mit falscheingabe einen kompletten server lamlegen kann.

deswegen wollte ich diese accounts ausklammern ... aber ich kanns nicht testen .. da hier keine testumgebung vorhanden ist.

Link zu diesem Kommentar

Hi, will euch ja nicht enttäuschen: Aber Passwortrichtlinien ziehen nur in der Default Domain Policy. Versuche auf einer OU scheitern. Ausnahmen kann mit dem Haken "Kennwort läuft nie ab" erreichen. Alles andere funzt nicht oder nur scheinbar.

 

Sicherheitseinstellungen gelten immer nur Domänen weit, will man eine zweite Paswort-Policy erstellen, benötigt man eine zweite Domäne.

Link zu diesem Kommentar

meine frage ist gewesen.

 

ich setze eine Default Domain Policy mit folgenden Settings

 

Richtlinie Sicherheitseinstellung

Kontensperrungsschwelle 5 ungültigen Anmeldeversuchen

Kontosperrdauer 5 Minuten

Zurücksetzungsdauer des Kontosperrungszählers 10

 

sobald ich das gemacht habe .. moechte ich eine OU basteln mit Accounts die nicht davon

betroffen sein sollen.

weiss da einer was ich machen kann .. evtl. Sicherheitsrichlinienvererbung Deaktivieren ?

oder was andere ?

ich wage es nicht einfach so eine Default Policy zu setzen ohne zu wissen was ich ich ausklammern kann.

Link zu diesem Kommentar

Da diese Richtlinie im Knoten Computerkonfiguration eingestellt wird und auf Computer angewendet wird, könntest Du im Falle von Domänenkonten nur in der Domain Controller OU die Vererbung deaktivieren, was dann aber natürlich für alle Konten gilt. Meiner Ansicht nach gibt es keine Möglichkeit, innerhalb einer Domäne mehrere Kennwortrichtlinien zu betreiben bzw. eine gültige Richtlinie nur teilweise durchzudrücken. Wenn keiner "Quatsch mit den Konten machen soll" , aktiviere eine strenge Überwachung und deaktiviere das automatische Sperren von Konten ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...