6
Bei lokaler Anmeldung die Kontosperrungsschwelle umgehen
Hallo zusammen,
wie haben einige Laptops die in der Domäne sind. Hier ist die Kontosperrungsschwelle auf 3 Versuche eingestellt und es gibt keine Kontosperrdauer - die Benutzer müssen bei gesperrtem Konto den Admin zum entsperren anrufen.
Solange die Rechner einen Zugang zum Netzwerk haben ist das ja ok - aber wenn die Benutzer sich lokal anmelden und dann nicht mit der Domäne verbunden sind zieht diese Richtlinie auch. Das Entsperren ist dann aber recht dumm auf Entfrnung...
Kann man die Richtlinie nicht so einstellen, dass bei lokaler Anmeldung die Domänenrichtlinie nicht zieht sondern nur eine lokale?
Lokal sind die Einstellungsmöglichkeiten in den Kontosperrungsrichtlinien ausgegraut..
Win2008R2 DC und WIN7 Laptops
Hat jemand eine Idee?
Liebe Grüße
Sylvia
wie haben einige Laptops die in der Domäne sind. Hier ist die Kontosperrungsschwelle auf 3 Versuche eingestellt und es gibt keine Kontosperrdauer - die Benutzer müssen bei gesperrtem Konto den Admin zum entsperren anrufen.
Solange die Rechner einen Zugang zum Netzwerk haben ist das ja ok - aber wenn die Benutzer sich lokal anmelden und dann nicht mit der Domäne verbunden sind zieht diese Richtlinie auch. Das Entsperren ist dann aber recht dumm auf Entfrnung...
Kann man die Richtlinie nicht so einstellen, dass bei lokaler Anmeldung die Domänenrichtlinie nicht zieht sondern nur eine lokale?
Lokal sind die Einstellungsmöglichkeiten in den Kontosperrungsrichtlinien ausgegraut..
Win2008R2 DC und WIN7 Laptops
Hat jemand eine Idee?
Liebe Grüße
Sylvia
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 208619
Url: https://administrator.de/contentid/208619
Printed on: April 20, 2024 at 03:04 o'clock
6 Comments
Latest comment
Hi Sylvia,
wenn ihr eine Policy habt, die bei 3 falschen Anmeldungen den Client sperrt, dann hat sich jemand was dabei gedacht und es besteht ein erhöhtes Sicherheitsbedürfnis.
Wie würde denn jetzt hier die - von dir gewünschte - Ausnahme für mobile Clients hineinpassen?
Genau, gar nicht!
Das ginge AFAIK auch nur, wenn ihr die Clients aus der Domäne nehmen und lokale Richtlinien konfigurieren würdet.
wenn ihr eine Policy habt, die bei 3 falschen Anmeldungen den Client sperrt, dann hat sich jemand was dabei gedacht und es besteht ein erhöhtes Sicherheitsbedürfnis.
Wie würde denn jetzt hier die - von dir gewünschte - Ausnahme für mobile Clients hineinpassen?
Genau, gar nicht!
Das ginge AFAIK auch nur, wenn ihr die Clients aus der Domäne nehmen und lokale Richtlinien konfigurieren würdet.
Na... 
Das sind ja Geschichten... Münchhausen fliegt mal wieder. Man kann ohne Konnektivität kein Domänenkonto sperren. Wie auch, die Kontoverwaltung ist auf dem DC, die Kennwortrichtlinie ebenso... und eben zu dem hast Du keine Konnektivität.
Probier es bitte selbst aus, dann wirst Du es sehen.
Das sind ja Geschichten... Münchhausen fliegt mal wieder. Man kann ohne Konnektivität kein Domänenkonto sperren. Wie auch, die Kontoverwaltung ist auf dem DC, die Kennwortrichtlinie ebenso... und eben zu dem hast Du keine Konnektivität.
Probier es bitte selbst aus, dann wirst Du es sehen.
@ DerWoWusste - wenn es nicht ginge würde ich nicht Fragen. Ich frage ja nur weil genau dieses Poblem besteht. Wieso sollte das auch nicht gehen? Ein mal Konnektivität und Rechner in der Domäne und die Richtlinien sind da und bleiben da bis sie wieder eine Änderung bekommen und der Rechner mitglied in der Domäne ist. Eine Änderung geht erst wenn sie wieder am DC angeschlossen sind - oder aus der Domäne genommen werden. Also gelten so lange die letzten Richtlinien bis sie neue bezogen haben.
@ goscho - natürlich haben wir uns was dabei gedacht und das ist zu 99,99 % auch richtig so. Aber bei ein paar Laptops wird das eben zum Problem wenn die irgend wo in der Pampa stehen und sich nicht am PC (nicht an der Domäne) anmelden können...und genau für die brauche ich eine vernünftige Lösung.
Die Alternative die Rechner aus der Domäne zu nehmen ist leider auch nicht besser.
Ich meine es gibt die Möglichkeit unterschiedliche Kontorichtinien auch auf Domänenebene zu setzen (Filter oder sowas?), leider habe ich da noch nicht wirklich was gefunden was mit weiterhilft...
Praktisch wäre es wenn man einstellen könnte, dass die lokalen Richtinien dann ziehen wenn sie nicht mit dem DC verbunden sind. Da habe ich aber leider nichts praktikables zu gefunden.
Noch jemand eine Idee?
Oder einen Alternativvorschlag?
Liebe Grüße
Sylvia
@ goscho - natürlich haben wir uns was dabei gedacht und das ist zu 99,99 % auch richtig so. Aber bei ein paar Laptops wird das eben zum Problem wenn die irgend wo in der Pampa stehen und sich nicht am PC (nicht an der Domäne) anmelden können...und genau für die brauche ich eine vernünftige Lösung.
Die Alternative die Rechner aus der Domäne zu nehmen ist leider auch nicht besser.
Ich meine es gibt die Möglichkeit unterschiedliche Kontorichtinien auch auf Domänenebene zu setzen (Filter oder sowas?), leider habe ich da noch nicht wirklich was gefunden was mit weiterhilft...
Praktisch wäre es wenn man einstellen könnte, dass die lokalen Richtinien dann ziehen wenn sie nicht mit dem DC verbunden sind. Da habe ich aber leider nichts praktikables zu gefunden.
Noch jemand eine Idee?
Oder einen Alternativvorschlag?
Liebe Grüße
Sylvia
Hallo,
wie wärs mit einem VPN oder einer eigenen OU mit entsprechend angepassten GPOs?
Gruß,
Chris
wie wärs mit einem VPN oder einer eigenen OU mit entsprechend angepassten GPOs?
Gruß,
Chris
Hallo Chrisre,
VPN haben sie wenn sie irgend wo einen Internetzugang haben.
Das mit der eigenen OU war auch schon mein Gedanke aber Kennwortrichtlinien ziehen nur auf Domänenebene. Ich schau gerade ob ich das über abgestimmte Kennwort und Kontosperrungsrichtlinien hinbekomme aber ich bin nicht so fit in GPO.
Viellecht klappts ja
Danke!
Liebe Grüße
Sylvia
VPN haben sie wenn sie irgend wo einen Internetzugang haben.
Das mit der eigenen OU war auch schon mein Gedanke aber Kennwortrichtlinien ziehen nur auf Domänenebene. Ich schau gerade ob ich das über abgestimmte Kennwort und Kontosperrungsrichtlinien hinbekomme aber ich bin nicht so fit in GPO.
Viellecht klappts ja
Danke!
Liebe Grüße
Sylvia
Hi Sylvia.
Und ja, ich habe das alles auch gegengetestet, in 2 Domänen sogar.
Damit Dir klar wird, dass es nicht so läuft, wie Du es Dir vorstellst und dass es ein anderes Problem sein MUSS, folgender Gedanke: Nehmen wir an, Du hättest Recht. Dann könnte ich mich in der Zeit, wo das Konto auf PC A gesperrt ist, doch einfach auf PC B anmelden... das wäre schon einmal nicht Sinn der Sache einer Kontensperrung... diese gilt doch domänenweit.
Dann überlege Dir bitte, wie eine Entsperrung funktioniert. Diese wird am DC vorgenommen und im Moment der Entsperrung kommuniziert der DC nicht mit den Clients, was Du nachweisen kannst (und was auch vollkommen logisch ist, man denke an Tausende von Clients). Lediglich bei jeder Anmeldung findet diese Kommunikation statt. Der DC sagt also nicht zu den Clients: "Hey, entsperrt mal Nutzer X".
Ich hoffe, nun ist es Dir klar geworden und Du siehst ein, dass Du ein anderes Problem hast. Beschreibe es bitte genauer, dann können wir es gemeinsam mit Sicherheit lösen.
wenn es nicht ginge würde ich nicht Fragen
Ich bin der letzte, der kommt und sagt: "hör mal, dieses Problem hast Du doch gar nicht, was regst Du Dich auf". Ich habe Dir lediglich erklärt, was da technisch abläuft und Dich darauf hingewiesen, dass es so, wie wiedergegeben, nicht sein kann.Ein mal Konnektivität und Rechner in der Domäne und die Richtlinien sind da und bleiben da bis sie wieder eine Änderung bekommen und der Rechner mitglied in der Domäne
Vollkommen richtig - nur hat das mit dem beschriebenen Problem rein gar nichts zu tun. Die Kontosperrungsrichtlinie auf dem DC zählt. Die auf dem Client wirkt nur und einzig und allein auf lokale Konten.Und ja, ich habe das alles auch gegengetestet, in 2 Domänen sogar.
Damit Dir klar wird, dass es nicht so läuft, wie Du es Dir vorstellst und dass es ein anderes Problem sein MUSS, folgender Gedanke: Nehmen wir an, Du hättest Recht. Dann könnte ich mich in der Zeit, wo das Konto auf PC A gesperrt ist, doch einfach auf PC B anmelden... das wäre schon einmal nicht Sinn der Sache einer Kontensperrung... diese gilt doch domänenweit.
Dann überlege Dir bitte, wie eine Entsperrung funktioniert. Diese wird am DC vorgenommen und im Moment der Entsperrung kommuniziert der DC nicht mit den Clients, was Du nachweisen kannst (und was auch vollkommen logisch ist, man denke an Tausende von Clients). Lediglich bei jeder Anmeldung findet diese Kommunikation statt. Der DC sagt also nicht zu den Clients: "Hey, entsperrt mal Nutzer X".
Ich hoffe, nun ist es Dir klar geworden und Du siehst ein, dass Du ein anderes Problem hast. Beschreibe es bitte genauer, dann können wir es gemeinsam mit Sicherheit lösen.
