Kontosperrungsrichtlinen

[Patrick_Derlet 10]

Hallo!

 

Ich möchste die Kontosperrungsrichtlinen einsetzen. Obwohl ich in der Default Domain Policy Werte für die "Kontensperrungsschwelle" , "Kontosperrungsdauer" und "Zurücksetzungsdauer des "Kontosperrungszählers" angegeben habe, wird das Benutzerkonto nach mehrmaligen falschen Passsworteingaben nicht gesperrt!

Weiß jemand um Rat?

 

Danke im Voraus für die Hilfe!

Gruß Patrick

[IThome 10]

Auch schon GPUPDATE auf den DCs durchgeführt ? Vererbung in der Domain Controllers OU aktiviert ?

[Patrick_Derlet 10]

Hi,

GPUPDATE habe ich durchgeführt! Mal eine evtl. dumme Frage jetzt! Wie funktioniert das mit der Verbung in der Domain Controllers OU? Kenn mich noch nicht so gut aus :)

[IThome 10]

Die Einstellungen , die auf höherer Ebene vorgenommen werden, werden nach unten vererbt. Wenn im Domänencontainer Einstellungen vorgenommen werden, werden diese Einstellungen in die darunter liegende OU Domain Controllers vererbt. Es gibt natürlich Regeln für die Vererbung, welche Einstellungen tatsächlich angewendet werden. Aber wenn Du nichts explizit abgeschaltet hast, sollte die Einstellung in der Default Domain Policy an die Domänencontroller in der Domain Controllers OU weitergegeben werden. Was genau hast Du wo eingestellt ?

[Patrick_Derlet 10]

In der Gruppenrichtlinenverwaltung bin ich auf bearbeiten der Default Domain policy gegangen. Dort habe ich dann unter Computerkonfiguration-->Windowseinstellungen-->Sicherheitseinstellungen-->Kontosperrung den 3 Richtlinien jeweils den Wert 3 gegeben. So sollte es eigentlich funktionieren :D

[IThome 10]

Wenn Du Dich an dem Client auch mit einem Domänenkonto anmeldest schon ... Die Einstellung wirkt aber auch auf lokale Konten der Workstation (nach einem GPUPDATE auf dem Client oder maximal nach 90 Minuten)

[XP-Fan 220]

Hallo Patrick,

 

mit welchem Benutzer testest du die Richtlinie ?

[Patrick_Derlet 10]

Hallo Sven,

ich habe die Richtline mit einem Domänenbenutzer getestet, da die Richtlinien ja nicht mit für den Admin gelten! So habe ich mir das zumindest sagen lassen.

[Patrick_Derlet 10]

Dann warte ich mal die 90 minuten ab. Hoffe es geht dann :)

[IThome 10]

90 Minuten gilt nur für Konten des Clients (ausser Du machst auf ihm GPUPDATE)

[Patrick_Derlet 10]

Also auf dem einen Client habe ich GPUPDATE ausgeführt.

[Patrick_Derlet 10]

Also ich verstehe das nicht ! Ich habe jetzt 90 Minuten gewartet und trotzdem kann sich ein domänenbenutzer an dem Server und an dem Client auch nach mehrmaliger falscher Passworteingabe einloggen *rofl* *grübel*

Trotzdem danke für eure Tipps :)

[Patrick_Derlet 10]

Mir ist eben aufgefallen, dass ich im Gruppenrichtlinieneditor nicht die Möglichkeit habe die Kontosperre einzustellen. Die 3 Optionen sind da ausgeblendet! Verstehe ich irgendwie nicht!

[IThome 10]

Ich denke, Du meinst GPEDIT.MSC auf dem Client. Es kann nicht geändert werden, da die Einstellung in der Domänenrichtlinie die lokale Einstellung überschreibt.

Wenn Du die Einstellungen für das Kontosperren in der Default Domain Policy gemacht hast (besser noch ein neues GPO mit diesen Einstellungen erzeugen, in den Domänencontainer linken und an die erste Stelle setzen), dann wird diese Einstellung durch Vererbung an die Domain Controllers OU weitergegeben. Diese Einstellung ist gültig, da sie auf den Clients ja offensichtlich ankommt , bei den Domänencontrollern offensichtlich nicht. Ein denkbarer Grund dafür wäre, dass die Vererbung in der Domain Controllers OU deaktiviert wurde. Du kannst auf einem DC RSOP.MSC ausführen um zu überprüfen, ob die Einstellungen der Domäne überhaupt weitergegeben werden.