Velius 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 Heul, so eine verdammige Axt. Das mit der neuen Domaene geht auch keinen Fall. Na dann muss ich mal sehen, ob man die Switche auch so konfigurieren kann, dass sie ein anderes Passwort als die MAC akzeptieren. Vielleicht hilft dir das? http://www.specopssoft.com/products/specopspasswordpolicy/Default.asp Zitieren Link zu diesem Kommentar
Nocturne 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 Die Kennwortrichtlinie kann man blockieren ...http://support.microsoft.com/kb/269236/en-us Nein, kann man nicht. Was du blockieren kannst ist die *Verarbeitung* der Richtlinie. Wenn du die DCs blockierst werden die sicherheitsrelevanten Einstellungen nicht mehr verarbeitet und damit auch in der gesamten Domäne nicht mehr wirksam sein. Dasjonken will aber eine beliebige OU aussparen. Das geht nicht! Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 ein kollege von mir behauptet er hätte es schon mal gemacht alle hätten ein starkes PW gebraucht aber für eine OU konnte er es abschalten. er kann sich aber nicht mehr genau erinnern wie er es gemacht hat. ich versuche mal wiederzugeben wie ich es testen würde. die RADA OU in die oberste ebene. die PW GPO in der rangfolge über DDP stellen aber nicht erzwingen. der RADA OU die vererbung deaktivieren. wenn es nicht gehen würde warum dann der link den IThome eingestellt hat, der das deaktivieren beschreibt!? :suspect: Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 Dasjonken will aber eine beliebige OU aussparen. Das geht nicht! Siehe mein Link!! :D Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 Das meinte ich damit (das ist eine Fehlerkonfiguration bzw. keine gewollte Konfiguration), sowas macht man nicht. Zitieren Link zu diesem Kommentar
dasjonken 10 Geschrieben 12. Mai 2006 Autor Melden Teilen Geschrieben 12. Mai 2006 Na dann werde ich mal mit der Trialversion versuchen, ob das Problem damit behoben werden kann. Eine schoene, vielleicht auf Berechtigungen ausgelegte Loesung waere zwar schoener, aber was nicht geht das geht nicht, Vielen Dank auf jeden Fall!!! Zitieren Link zu diesem Kommentar
Nocturne 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 wenn es nicht gehen würde warum dann der link den IThome eingestellt hat, der das deaktivieren beschreibt!? :suspect: Weil das die komplette verarbeitung der GPO verhindert ;) Das Zusatztool, welches Velius erwähnt hat, hört sich aber ganz nett an... alles andere - was Microsoft Bordmittel anbelangt - ist nach meinem Wissensstand nicht möglich. Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 wenn es ein tool gibt das das machen kann dann muss es im grunde auch so gehen wenn man weis wie es geht, die kochen auch nur mit wasser und dann hatte mein kollege doch recht. ob das ein fehler ist... kann schon sein. aber warum nicht den "fehler" positiv nutzen ? Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 wenn es ein tool gibt das das machen kann dann muss es im grunde auch so gehen wenn man weis wie es geht, die kochen auch nur mit wasser und dann hatte mein kollege doch recht. ob das ein fehler ist... kann schon sein. aber warum nicht den "fehler" positiv nutzen ? Das ist kein Fehler, das ist "by design". Das Zusatztool ist aber auch nicht ohne, denn da muss ein Agent auf den Controllern vorgeschaltet(installiert) werden, ähnlich wie bei den grossen Identitäts-Lösungen wie MIIS. Zitieren Link zu diesem Kommentar
dasjonken 10 Geschrieben 12. Mai 2006 Autor Melden Teilen Geschrieben 12. Mai 2006 Aber doch wohl hoffentlich nicht auf jedem DC, oder? Ich hab in die Beschreibung noch nicht wirklich reingeschaut. Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 hätt ich ne testdomäne würde ich es probieren, wenn mein kollege sagt er hat es geschafft dann glaube ich ihm das. Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 hätt ich ne testdomäne würde ich es probieren, wenn mein kollege sagt er hat es geschafft dann glaube ich ihm das. Meine Logik sowie alle meine Unterlagen sagen, dass das mit MS Boardmitteln nicht geht / gehen kann. Aber ich lerne gerne dazu. Gruß Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 Aber doch wohl hoffentlich nicht auf jedem DC, oder? Ich hab in die Beschreibung noch nicht wirklich reingeschaut. Dem 1. Screenshot nach zu urteilen schon: http://www.specopssoft.com/products/specopspasswordpolicy/screenshots/default.asp @Hirgelzwift Man muss nicht gleich alles glauben (wenn der Tag lang ist erzählt noch mancher vieles... ;) BTW: Es würde wohl kaum ein Hersteller solch eine Software verkaufen wenn das verhalten nicht "by Design", und so leicht änderbar wäre.) Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 12. Mai 2006 Melden Teilen Geschrieben 12. Mai 2006 das tool kann ja noch mehr und hier geht es ja nur um einen kleinen teil das für diese diskussion von interesse ist. BTW - ich habe ihn nochmal gefragt und wir haben das nochmal durchdiskutiert und er meinte dann: 1. DDP in bezug auf PW alles default (nicht konfiguriert) lassen. 2. GPO1 mit starkem PW 3. GPO1 ohne starkem PW 4. GPO1 auf die Benutzer OU anwenden und erzwingen. davon ausgehend das die benutzer alle in eine GPO verschoben wurden und nicht im default container sind 5. GPO2 auf die RADA GPO anwenden und erzwingen. ausgehend davon das diese OU auf der selben ebene steht wie die benutzer OU bzw. keine sub OU der benutzer OU ist. ob es dann letztlich geht habe ich noch nicht versucht, kann auch sein das es schmarrn ist und da wie gesagt keine testdomäne zur hand. an die produktive gehe ich jetzt nicht dran weil leider unsere PW GPO auch in der DDP definiert ist (war schon so bevor ich hier angefangen hatte) Zitieren Link zu diesem Kommentar
dasjonken 10 Geschrieben 12. Mai 2006 Autor Melden Teilen Geschrieben 12. Mai 2006 Ich kann doch die Passwort GPO nicht auf eine OU anwenden, denn meines Wissens muss sie doch immer auf Domaenenebene liegen. Das ist ja das Problem! Oder hab ich dich falsch verstanden? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.