Deadly 10 Geschrieben 2. Januar 2006 Melden Teilen Geschrieben 2. Januar 2006 hallo zusammen, wir arbeiten hier mit einer windows 2003 domain und sollen eine passwort policy ( default domain policy ) setzen. mit der wirkung, das wenn man das passwort 5mal falsch eingegeben hat der account des users gesperrt wird. wir haben natuerlich auch serveraccounts die niemals einen solchen change abbekommen duerfen .. das heisst .. wenn ein user diesen account-namen kennen wuede .. koennte er ... wenn er gemein ist diesen gleich 5 mal falsch eintippen und wir haetten ein grosses problem. meine frage ist: kann man useraccounts aus dieser policy aushebeln ? also mit dem haken ( richtlinien vererbung deaktivieren ) ? ich habe folgendes vor .. eine OU basteln und da accounts reinstecken die nicht davon betroffen werden sollen .. dann den haken ( richtlinien vererbung deaktivieren ) setzen und hoffen das es klappt. hat schon jemand erfahrungen damit gemacht ? .. wir haben leider kein testlab und ich kann nur an der domain selbst regeln setzen .. danke fuer die infos Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 2. Januar 2006 Melden Teilen Geschrieben 2. Januar 2006 ich habe folgendes vor .. eine OU basteln und da accounts reinstecken die nicht davon betroffen werden sollen .. dann den haken ( richtlinien vererbung deaktivieren ) setzen und hoffen das es klappt. Hi, wie wäre es, wenn du eine OU machst und dort die User reinsteckts die von der Passwort Policy betroffen sein sollen. Da brauchst du nämlich gar nicht in der Default Domain Policy rumzuhantieren, sondern in der GP der OU. Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 2. Januar 2006 Melden Teilen Geschrieben 2. Januar 2006 Hm, hast du deine normalen USER in der selben OU wie die Serveraccounts? Wenn ja, dann schlecht. Dann solltest du deine User in eine seperate OU packen und dort die Policy drauf hängen. Alternativ kann man das Flag "UserCannotChangePassword" an den betreffenden Accounts setzen, dann können für diese Accounts auch keine Kennworte geändert werden. /Edit: zu langsam ;) Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 2. Januar 2006 Melden Teilen Geschrieben 2. Januar 2006 :rolleyes: Sorry, aber Domain-Accounts sind immer von der Policy betroffen! Wenn man PW-Richtlinien für OUs ändert, gilt das nur für LOKALE Accounts auf den Computer, deren Accounts dann in die OU zu verschieben sind. Natürlich kann man die User accounts mit der von PhoenixCP erwähnten Einstellung anpassen. Christoph http://www.microsoft.com/technet/security/topics/serversecurity/tcg/tcgch02n.mspx Note: For domain accounts, there can be only one Account policy per domain. The Account policy must be defined in the Default Domain Policy or in a new policy that is linked to the root of the domain and given precedence over the Default Domain Policy, which is enforced by the domain controllers that make up the domain. A domain controller always pulls the Account policy from the root of the domain, even if there is a different Account policy applied to the OU that contains the domain controller. The root of the domain is the top level container of the domain, not to be confused with the root domain in a forest; the root domain in a forest is the top level domain within that forest. Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 2. Januar 2006 Melden Teilen Geschrieben 2. Januar 2006 @Necron, ich dachte die Richtlinie wirkt sich auf Domänen-Controller, Server bzw Computer und nicht auf einzelne Userkonten aus ? Wir haben die Richtlinie so eingestellt, dass das Konto nach 30 Min. automatisch entsperrt wird. Meiner Meinung nach kann das Konto "Administrator" nicht dauerhaft gesperrt werden. Also eigentlich nicht so schlimm ? Und da man hinterher aus dem Sicherheitsprotkoll rausbekommt, welcher PC das Konto gesperrt hat... -Zahni Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 2. Januar 2006 Melden Teilen Geschrieben 2. Januar 2006 @Necron, ich dachte die Richtlinie wirkt sich auf Domänen-Controller, Server bzw Computer und nicht auf einzelne Userkonten aus ? Sorry Fehler beim schreiben unterlaufen! Hast ja recht, kann man ja auch nur unter Computerkonfiguration einstellen. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. Januar 2006 Melden Teilen Geschrieben 2. Januar 2006 ich dachte die Richtlinie wirkt sich auf Domänen-Controller, Server bzw Computer und nicht auf einzelne Userkonten aus ? Das sehe ich auch so, es wird ja im Knoten Computerkonfiguration eingestellt und gilt für Konten der Computer, die sich in Reichweite befinden (im Falle der DCs eben alle Domänenkonten) Zitieren Link zu diesem Kommentar
Deadly 10 Geschrieben 2. Januar 2006 Autor Melden Teilen Geschrieben 2. Januar 2006 also wenn ich recht verstehe ... ich setze eine default domain policy die natuerlich alle accounts betrifft ... diese werden in den maschinensettings bestimmt .. also .. nach 5 mal falscheingabe des passworts soll folgendes passieren ! Kontensperrungsschwelle 5 ungültigen Anmeldeversuchen Kontosperrdauer 10 minuten Zurücksetzungsdauer des Kontosperrungszählers 5 minuten ist es den moeglich accounts via OU in ausnamen zu setzen ?? da es sich ja bei den folgenden einstellungen um rechner einstellungen handelt. das ganze muesste ich auf OU ebene wieder auf personen bezogene logins gesetzt werden .. oder besser ,, nicht jeder account soll davon betroffen sein .. da es sich ja um eine default domain, und nicht um eine OU richtlinie handelt ... ich raffs noch nicht. Zitieren Link zu diesem Kommentar
Deadly 10 Geschrieben 2. Januar 2006 Autor Melden Teilen Geschrieben 2. Januar 2006 Hm, hast du deine normalen USER in der selben OU wie die Serveraccounts? Wenn ja, dann schlecht. Dann solltest du deine User in eine seperate OU packen und dort die Policy drauf hängen. Alternativ kann man das Flag "UserCannotChangePassword" an den betreffenden Accounts setzen, dann können für diese Accounts auch keine Kennworte geändert werden. /Edit: zu langsam ;) hi, nein, ich habe die serveraccounts nicht in den gleichen OUs wie die useraccounts .. aber ich weiss nicht ob die serveraccounts in die ausnamen gelangen wenn ich eine default domain policy setze ... man kann diese einstellung nur in der default domain policy angeben .. Richtlinie Sicherheitseinstellung Kontensperrungsschwelle 0 ungültigen Anmeldeversuchen Kontosperrdauer Nicht verfügbar Zurücksetzungsdauer des Kontosperrungszählers Nicht verfügbar damit sind alle accounts der domain betroffen .. ich habe nur angst, das wenn einer schlimmes machen moechte und er nen account eines serverusers kennt .. er mit falscheingabe einen kompletten server lamlegen kann. deswegen wollte ich diese accounts ausklammern ... aber ich kanns nicht testen .. da hier keine testumgebung vorhanden ist. Zitieren Link zu diesem Kommentar
Wäscherei 11 Geschrieben 2. Januar 2006 Melden Teilen Geschrieben 2. Januar 2006 Hi, will euch ja nicht enttäuschen: Aber Passwortrichtlinien ziehen nur in der Default Domain Policy. Versuche auf einer OU scheitern. Ausnahmen kann mit dem Haken "Kennwort läuft nie ab" erreichen. Alles andere funzt nicht oder nur scheinbar. Sicherheitseinstellungen gelten immer nur Domänen weit, will man eine zweite Paswort-Policy erstellen, benötigt man eine zweite Domäne. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. Januar 2006 Melden Teilen Geschrieben 2. Januar 2006 Hi, will euch ja nicht enttäuschen: Aber Passwortrichtlinien ziehen nur in der Default Domain Policy. Versuche auf einer OU scheitern. So ist es ... :) Zitieren Link zu diesem Kommentar
Deadly 10 Geschrieben 2. Januar 2006 Autor Melden Teilen Geschrieben 2. Januar 2006 Hi, will euch ja nicht enttäuschen: Aber Passwortrichtlinien ziehen nur in der Default Domain Policy. Versuche auf einer OU scheitern. ja, das weiss ich ... nur wie kann ich rechner, oder besser .. useraccounts davor verschonen ? ich moechte vermeiden das jemand mit accounts quatsch macht. Zitieren Link zu diesem Kommentar
Deadly 10 Geschrieben 2. Januar 2006 Autor Melden Teilen Geschrieben 2. Januar 2006 meine frage ist gewesen. ich setze eine Default Domain Policy mit folgenden Settings Richtlinie Sicherheitseinstellung Kontensperrungsschwelle 5 ungültigen Anmeldeversuchen Kontosperrdauer 5 Minuten Zurücksetzungsdauer des Kontosperrungszählers 10 sobald ich das gemacht habe .. moechte ich eine OU basteln mit Accounts die nicht davon betroffen sein sollen. weiss da einer was ich machen kann .. evtl. Sicherheitsrichlinienvererbung Deaktivieren ? oder was andere ? ich wage es nicht einfach so eine Default Policy zu setzen ohne zu wissen was ich ich ausklammern kann. Zitieren Link zu diesem Kommentar
Wäscherei 11 Geschrieben 2. Januar 2006 Melden Teilen Geschrieben 2. Januar 2006 Ausnahmen kann mit dem Haken "Kennwort läuft nie ab" erreichen. Habe allen Usern diesen Haken gesetzt, dann Richtlinie aktiviert. anschließend mit "Versuchkaninchen" die Policy gecheckt. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. Januar 2006 Melden Teilen Geschrieben 2. Januar 2006 Da diese Richtlinie im Knoten Computerkonfiguration eingestellt wird und auf Computer angewendet wird, könntest Du im Falle von Domänenkonten nur in der Domain Controller OU die Vererbung deaktivieren, was dann aber natürlich für alle Konten gilt. Meiner Ansicht nach gibt es keine Möglichkeit, innerhalb einer Domäne mehrere Kennwortrichtlinien zu betreiben bzw. eine gültige Richtlinie nur teilweise durchzudrücken. Wenn keiner "Quatsch mit den Konten machen soll" , aktiviere eine strenge Überwachung und deaktiviere das automatische Sperren von Konten ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.