11
Domainadmin aus der Kennwortrichtlinie ausklammern
Besteht die Möglichkeit bei aktivierter Kennwortrichtlinie (Default Domain Policy, SBS2003) den Domainenadministrator auszuschließen?
z.B. in dem ich die Sicherheitsfilterung authentifizierte Benutzer eintrage.
Danke und Gruß
z.B. in dem ich die Sicherheitsfilterung authentifizierte Benutzer eintrage.
Danke und Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 129538
Url: https://administrator.de/contentid/129538
Printed on: April 19, 2024 at 04:04 o'clock
11 Comments
Latest comment
Die Default Domain Policy gilt erstmal für alle. Deshalb default. Solange sich die User nicht in einer anderen OU befinden und übersteuernde Einstellungen zugewiesen bekommen.
Aber wofür gibt es dann die Sicherheitsfilterung?
Das ist recht simpel. Um die Domain Admins auszuklammern erstellst du eine OU mit allen anderen Usern, wirfst die Authentifizierten Benutzer aus der Sicherheitsfilterung raus, und setzt dafür die o.g. OU ein. Somit gilt die Policy für alle, bis auf die Domain Admins. Ein klarer Nachteil bei dieser vorgehensweise ist natürlich, dass neue User / Computer in die OU eingepflegt werden müssen, damit die Policy auch für sie gilt.
exakt so. Warum willst du gerade den Domainadmin da rauslassen? LG
Wir verwenden den Account des D-Admins in einigen Programmen die sich auf Clients oder Verzechnisse verbinden (Kaspersky Admin-kit, CA-Backup). Ich müßte dann jedesmal das neue Admin Passwort einpflegen.
Zitat von @cyberjunkie:
Wir verwenden den Account des D-Admins in einigen Programmen die sich
auf Clients oder Verzechnisse verbinden (Kaspersky Admin-kit,
CA-Backup). Ich müßte dann jedesmal das neue Admin Passwort
einpflegen.
Wir verwenden den Account des D-Admins in einigen Programmen die sich
auf Clients oder Verzechnisse verbinden (Kaspersky Admin-kit,
CA-Backup). Ich müßte dann jedesmal das neue Admin Passwort
einpflegen.
Ich würde mir an dieser Stelle einfach einen Extra-Benutzer dafür anlegen und das nicht mit vollen Admin-Rechten, sondern nur den entsprechenden Rechten, um auf bestimmte Freigaben zuzugreifen.
Hierfür natürlich eine extra OU anlegen und die Kennwortrichtlinie herausnehmen. Auch gerade aus Revisions-Sicht wäre dann wichtig, diese Benutzer nicht mit vollen Rechten auszustatten (wie bereits erwähnt).
Besteht die Möglichkeit bei aktivierter Kennwortrichtlinie (Default Domain Policy, SBS2003) den Domainenadministrator auszuschließen?
In einer 2003 Umgebung gibt es keine Möglichkeit alternierende Kennwortrichtlinienen zu erstellen.
Es gilt immer und für Alle die Richtlinie der "Default Domain Policy".
Das ist eine technische Beschränkung, die sich erst mit Server 2008 geändert hat.
Grüße
Max
Moin,
für Dienste, die Ihr ja habt, kann man Diensteaccounts anlegen, harte Paßwörter, Paßwort läuft nicht ab, Paßwort liegt im Safe
Gruß
24
für Dienste, die Ihr ja habt, kann man Diensteaccounts anlegen, harte Paßwörter, Paßwort läuft nicht ab, Paßwort liegt im Safe
Gruß
24
Da ja die Meinungen schwer auseinandergehen unterstütze ich (größtenteils) dog.
Fakten am Rand:
-die Policy ist eine Computerpolicy - sie hat mit Userobjekten rein gar nichts zu tun
-die Kontendatenbank mit den Domänenkonten ist die jenige, auf die die Richtlinie in der Regel angewendet werden soll - sie liegt auf den DCs.
-die Policy, falls über die Default Domain Policy angewendet, greift sowohl für lokale als auch für Domänenkonten
-die Policy, falls über die Default Domain Controllers Policy angewendet (also nur auf den DCs), greift nur für Domänenkonten
-der Leitspruch "bis 2003 gilt: eine Kennwortpolicy pro Domäne" ist ungenau, er müsste lauten "bis 2003 gilt: eine Kennwortpolicy pro Domäne bezogen auf die Domänenkonten", denn für lokale Konten kann man beliebig viele Policies definieren.
Dennoch kannst Du für den Admin [exklusiv] festlegen (falls es das ist, was Du Dir erhoffst), dass sein Kennwort nie abläuft. Ganz einfach über die Eigenschaften des Benutzerobjektes.
Fakten am Rand:
-die Policy ist eine Computerpolicy - sie hat mit Userobjekten rein gar nichts zu tun
-die Kontendatenbank mit den Domänenkonten ist die jenige, auf die die Richtlinie in der Regel angewendet werden soll - sie liegt auf den DCs.
-die Policy, falls über die Default Domain Policy angewendet, greift sowohl für lokale als auch für Domänenkonten
-die Policy, falls über die Default Domain Controllers Policy angewendet (also nur auf den DCs), greift nur für Domänenkonten
-der Leitspruch "bis 2003 gilt: eine Kennwortpolicy pro Domäne" ist ungenau, er müsste lauten "bis 2003 gilt: eine Kennwortpolicy pro Domäne bezogen auf die Domänenkonten", denn für lokale Konten kann man beliebig viele Policies definieren.
Dennoch kannst Du für den Admin [exklusiv] festlegen (falls es das ist, was Du Dir erhoffst), dass sein Kennwort nie abläuft. Ganz einfach über die Eigenschaften des Benutzerobjektes.
Zitat von @DerWoWusste:
Dennoch kannst Du für den Admin [exklusiv] festlegen (falls es
das ist, was Du Dir erhoffst), dass sein Kennwort nie abläuft.
Ganz einfach über die Eigenschaften des Benutzerobjektes.
Dennoch kannst Du für den Admin [exklusiv] festlegen (falls es
das ist, was Du Dir erhoffst), dass sein Kennwort nie abläuft.
Ganz einfach über die Eigenschaften des Benutzerobjektes.
Du meinst einfach dieses Häkchen setzen das ist alles?
http://img5.imageshack.us/img5/3285/bildeh.jpg
Würde das auch bei anderen Usern funtionieren, angenommen der Chef sagt er möchte auch ausgeklammert werden?
Ja, das meinte ich und es geht für beliebige Benutzer.
