Jump to content

Domänen Policy ignorieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

hab ein Problem mit einem Dateiserver (win2k3) der ein Domänenmitglied ist.

Vorab, ich hab keinen Zugriff auf den Domänen Controller.

 

Und zwar soll die Kontosperrungsschwelle permanent auf 0 gesetzt werden. Dieses ist mir zwar mittels des Sicheheits-Analyse und -konfigurations Spnap-In möglich, allerdings verwirft mir der Server die Einstellung binnen eines Tages.

 

Nun meine Frage ob ich z.b. die Domänenrichtlinie komplett ignorieren und gegen die lokale tauschen, oder andersweitig die Konstosperrungsschwelle auf 0 behalten kann ? Zur not würde auch eine Batchbefehl reichen der das konfigurations Snap-In automatisch audführt.

Link zu diesem Kommentar

Die lokale Richtlinie ist bei einem Domänenmitglied die Richtlinie mit der geringsten Priorität. Deswegen werden die Einstellungen immer von einer Domänenbasierten Richtlinie überschrieben, egal woher aus der Domäne sie kommt. Um Dein Problem zu lösen, musst Du wohl oder übel Deinen Domänenadmin konsultieren (der auch für den ordnungsgemässen Betrieb verantwortlich ist und sicher nicht grundlos irgendwelche Richtlinien konfiguriert hat) ...

Link zu diesem Kommentar

Also den Domänenadmin zu konsutieren ist nicht möglich, da wir uns hier in einer recht grossen Firma mit diversen Ressorts befinden. Ich hatte in dem Zusammenhang mit dem Konfigurations Snap-In von einer ähnlichen Lösung über die Kommandozeile gehört, die man dann automatisch abrufen könnte. Kann mich aber leider nicht mehr an den Befehl erinnern....

Link zu diesem Kommentar

Sicher geht das (temporär), aber damit umgehst Du die Einstellungen, die der Domänenadmin der Domäne, also auch dem besagten Server, auferlegt hat . Da Du keinen Zugriff auf den DC hast, bist Du mit Sicherheit kein Domänenadmin, konfigurierst es also wahrscheinlich ohne sein Wissen. Ich habe keine Ahnung, wie und wo der Admin was konfiguriert hat und aus welchem Grund und das weiss hier sicher auch kein anderer. Und genau aus diesem Grund supporten wir kein Austricksen des Admins, sorry ...

Link zu diesem Kommentar

Die Anmeldung eines Benutzer basiert unter anderem auf dessen Benutzerkonto in der Domäne und nicht an einem Member.

 

Sicherheit ist ist eine ganzheitliche Angelegenheit der Domäne. Es kann (darf) keine Teilbereiche verschiedener Sicherheit(sanforderungen) und Stati geben. Das ist wohl derzeit Sachstand.

 

Mein Rat, lasse die Finger von Versuchen, die Sicherheit auszuhebeln. Bei uns würde bei einer Entdeckung solch eines Verrsuches mit sofortiger Entlassung reagiert.

Link zu diesem Kommentar

Es geht an sich nicht um die Sperrungsrichlinie der Domänenkonten, sondern, um 3 lokale Konten die auf diesem Server betrieben werden. Bestes Beispiel: auf dem Server ist ein IIS am laufen, der eine geschlossene Benutzgruppe beinhaltet(mittels NT Authentifizierung). der Zugehöhrige Nutzeraccount liegt lokal auf dem Server. Hackt nun jemand das Passwort 3 mal falsch ein, können alle anderen User den Zugriff vergessen....

 

darum soll der Fehlercounter auf 0 Stehen, macht meines erachtens Sinn :-)

 

und zu der Administrations Sache, ich bin schon für mein Ressort zuständig, allerdings gibt es da noch diverse übergeordnete Instanzen.

Link zu diesem Kommentar
Es geht an sich nicht um die Sperrungsrichlinie der Domänenkonten, sondern, um 3 lokale Konten die auf diesem Server betrieben werden.

 

1. Die lokale Richtlinie wird, wie schon beschrieben, von den Richtlinien in Active Directory überschrieben. Die Verabeitungreihenfolge ist: Local/Site/Domain/OU.

2. Passwortrichtlinien für Domänenbenutzer müssen domänenweit vergeben werden.

3. Stellt man per Gruppenrichtlinie auf einer OU, die Computerkonten enthält, eine weiter Passwortrichtlinie ein, so gilt diese nicht für Domänenbenutzer (siehe 2), sondern nur fü lokale Konten auf diesen Computern.

 

Nummer 3 wäre also deine Lösung, allerdings muss es in Active Directory eingerichtet werden. Darfst du das nicht, musst du es vernlassen. Ist es nicht gewollt hat es einen firmeninternen Grund und fertig.

Dafür sind Gruppenrichtlinien ja da :rolleyes:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...