Jump to content

Passwordpolicy


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Die Kennwortrichtlinie kann man blockieren ...

http://support.microsoft.com/kb/269236/en-us

Nein, kann man nicht. Was du blockieren kannst ist die *Verarbeitung* der Richtlinie. Wenn du die DCs blockierst werden die sicherheitsrelevanten Einstellungen nicht mehr verarbeitet und damit auch in der gesamten Domäne nicht mehr wirksam sein.

 

Dasjonken will aber eine beliebige OU aussparen. Das geht nicht!

Link zu diesem Kommentar

ein kollege von mir behauptet er hätte es schon mal gemacht alle hätten ein starkes PW gebraucht aber für eine OU konnte er es abschalten. er kann sich aber nicht mehr genau erinnern wie er es gemacht hat.

 

ich versuche mal wiederzugeben wie ich es testen würde.

 

die RADA OU in die oberste ebene. die PW GPO in der rangfolge über DDP stellen aber nicht erzwingen. der RADA OU die vererbung deaktivieren. wenn es nicht gehen würde warum dann der link den IThome eingestellt hat, der das deaktivieren beschreibt!? :suspect:

Link zu diesem Kommentar
wenn es ein tool gibt das das machen kann dann muss es im grunde auch so gehen wenn man weis wie es geht, die kochen auch nur mit wasser und dann hatte mein kollege doch recht. ob das ein fehler ist... kann schon sein. aber warum nicht den "fehler" positiv nutzen ?

 

Das ist kein Fehler, das ist "by design". Das Zusatztool ist aber auch nicht ohne, denn da muss ein Agent auf den Controllern vorgeschaltet(installiert) werden, ähnlich wie bei den grossen Identitäts-Lösungen wie MIIS.

Link zu diesem Kommentar
Aber doch wohl hoffentlich nicht auf jedem DC, oder? Ich hab in die Beschreibung noch nicht wirklich reingeschaut.

 

Dem 1. Screenshot nach zu urteilen schon: http://www.specopssoft.com/products/specopspasswordpolicy/screenshots/default.asp

 

@Hirgelzwift

 

Man muss nicht gleich alles glauben (wenn der Tag lang ist erzählt noch mancher vieles... ;) BTW: Es würde wohl kaum ein Hersteller solch eine Software verkaufen wenn das verhalten nicht "by Design", und so leicht änderbar wäre.)

Link zu diesem Kommentar

das tool kann ja noch mehr und hier geht es ja nur um einen kleinen teil das für diese diskussion von interesse ist.

 

BTW - ich habe ihn nochmal gefragt und wir haben das nochmal durchdiskutiert und er meinte dann:

 

1. DDP in bezug auf PW alles default (nicht konfiguriert) lassen.

2. GPO1 mit starkem PW

3. GPO1 ohne starkem PW

4. GPO1 auf die Benutzer OU anwenden und erzwingen. davon ausgehend das die benutzer alle in eine GPO verschoben wurden und nicht im default container sind

5. GPO2 auf die RADA GPO anwenden und erzwingen. ausgehend davon das diese OU auf der selben ebene steht wie die benutzer OU bzw. keine sub OU der benutzer OU ist.

 

ob es dann letztlich geht habe ich noch nicht versucht, kann auch sein das es schmarrn ist und da wie gesagt keine testdomäne zur hand. an die produktive gehe ich jetzt nicht dran weil leider unsere PW GPO auch in der DDP definiert ist :cry: (war schon so bevor ich hier angefangen hatte)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...