11
Domain Policy für bestimmte Benutzer ausschließen?
Hallo!
Ich möchte gerne auf einen SBS Server 2003 für einen Benutzer die Default Domain Policy umgehen. Folgender Hintergrund: Es ist ein Scanner im Netz aktiv. Dieser muss sich an der Domäne anmelden. Das ist ziemlich nervig, wenn man jedesmal über die Zahlentastatur den Benutzernamen und das Kennwort umständlich eintippen muss- nur um mal eben eine Seite zu scannnen. Ich kann machen, was ich will, es kommt immer der Hinweis dass das Kennwort nicht den Komlexibilitätsrichtlininen entspricht. Ich habe gedacht, dass ich den Benutzer Scanner einfach die Berechtigung "Einstellungen bearbeiten, Löschen, Sicherheit verändern gebe- klappt aber nicht. Hat jemand eine Idee?
Gruß
Michael
Ich möchte gerne auf einen SBS Server 2003 für einen Benutzer die Default Domain Policy umgehen. Folgender Hintergrund: Es ist ein Scanner im Netz aktiv. Dieser muss sich an der Domäne anmelden. Das ist ziemlich nervig, wenn man jedesmal über die Zahlentastatur den Benutzernamen und das Kennwort umständlich eintippen muss- nur um mal eben eine Seite zu scannnen. Ich kann machen, was ich will, es kommt immer der Hinweis dass das Kennwort nicht den Komlexibilitätsrichtlininen entspricht. Ich habe gedacht, dass ich den Benutzer Scanner einfach die Berechtigung "Einstellungen bearbeiten, Löschen, Sicherheit verändern gebe- klappt aber nicht. Hat jemand eine Idee?
Gruß
Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 26687
Url: https://administrator.de/contentid/26687
Printed on: April 24, 2024 at 19:04 o'clock
11 Comments
Latest comment
G' Abend,
Unter Start->Einstellungen->Systemsteuerung->Verwaltung gibt eine Verknüpfung names Richtlinien für die Domäne. Dort würde ich das ganze deaktivieren.
Gruß
Dani
Unter Start->Einstellungen->Systemsteuerung->Verwaltung gibt eine Verknüpfung names Richtlinien für die Domäne. Dort würde ich das ganze deaktivieren.
Gruß
Dani
Hallo Dani,
danke für die schnelle Antwort. Ich habe da nichts gefunden, wo ich das abschalten kann. Ich möchte auch nur die Sicherheitsrichtlinien für den einen Benutzer umgehen.
Gruß
Michael
danke für die schnelle Antwort. Ich habe da nichts gefunden, wo ich das abschalten kann. Ich möchte auch nur die Sicherheitsrichtlinien für den einen Benutzer umgehen.
Gruß
Michael
Hi,
du könnetest den User in eine extra Organisationseinheit stecken. Dann extra eine GPO einrichten. Dann müsste es theoretisch gehen!
Gruß
Dani
du könnetest den User in eine extra Organisationseinheit stecken. Dann extra eine GPO einrichten. Dann müsste es theoretisch gehen!
Gruß
Dani
Hallo Michael!
@Dani:
DENKEN ERLAUBT! Zuerst lesen, dann tippen. Wenn es die Default Domain Policy ist, ist Dein Vorschlag, den User in eine andere OU zu stecken so wertvoll wie ein kleines Steak, weil sich diese auf Domainebene befindet und jedenfalls auf alle authentifizierten Benutzer angewendet wird.
@michael:
Ist zwar nicht besonders elegant, aber die einzige Möglichkeit: Du kannst dem Benutzer für die Gruppenrichtlinie ein DENY für Lesen setzen, das überschreibt immer alles.
Dazu machst Du wenn du den Gruppenrichtlinieneditor benutzt (der bei sbs 2003 automatisch mitinstalliert wird) folgendes:
1. im Gruppenrichtlinieneditor Default Domain Policy anklicken
2. auf Delegierung klicken
3. Auf Erweitert klicken
4. das Scannerkonto hinzufügen (Pass aber auf, daß es das Computerkonto ist, denn die Kennwortrichtlinien sind Computereinstellungen, nicht Benutzereinstellungen!) und anklicken
5. Bei Lesen und Gruppenrichtlinie übernehmen jeweils Verweigern anklicken. (Das Verweigern=Deny ist immer stärker, daher wird dann die GPO für dieses Konto NICHT angewendet! Damit kann man aber viel Blödsinn machen, also mit Vorsicht einsetzen)
Samti
@Dani:
DENKEN ERLAUBT! Zuerst lesen, dann tippen. Wenn es die Default Domain Policy ist, ist Dein Vorschlag, den User in eine andere OU zu stecken so wertvoll wie ein kleines Steak, weil sich diese auf Domainebene befindet und jedenfalls auf alle authentifizierten Benutzer angewendet wird.
@michael:
Ist zwar nicht besonders elegant, aber die einzige Möglichkeit: Du kannst dem Benutzer für die Gruppenrichtlinie ein DENY für Lesen setzen, das überschreibt immer alles.
Dazu machst Du wenn du den Gruppenrichtlinieneditor benutzt (der bei sbs 2003 automatisch mitinstalliert wird) folgendes:
1. im Gruppenrichtlinieneditor Default Domain Policy anklicken
2. auf Delegierung klicken
3. Auf Erweitert klicken
4. das Scannerkonto hinzufügen (Pass aber auf, daß es das Computerkonto ist, denn die Kennwortrichtlinien sind Computereinstellungen, nicht Benutzereinstellungen!) und anklicken
5. Bei Lesen und Gruppenrichtlinie übernehmen jeweils Verweigern anklicken. (Das Verweigern=Deny ist immer stärker, daher wird dann die GPO für dieses Konto NICHT angewendet! Damit kann man aber viel Blödsinn machen, also mit Vorsicht einsetzen)
Samti
@samti
... kompetent und klar wie immer
...
Gruß
Atti
... kompetent und klar wie immer
...Gruß
Atti
Hallo Samti,
vielen Dank für den Tipp. Werde ich gleich ausprobieren und später berichten.
Gruß
Michael
vielen Dank für den Tipp. Werde ich gleich ausprobieren und später berichten.
Gruß
Michael
Hallo Samti,
ich habe es jetzt so probiert, wie von Dir vorgeschlagen. Das mit dem Computerkonto habe ich allerdings nicht verstanden. Scanner ist doch ein "normaler" Benutzer?!
Au falle Fälle kommt immer noch die Meldung. Ich habe früher auch schon mal gelsen, dass die Policy nicht korrekt auf Änderungen reagiert. Ist das vielleicht möglich?
Gruß
Michael
ich habe es jetzt so probiert, wie von Dir vorgeschlagen. Das mit dem Computerkonto habe ich allerdings nicht verstanden. Scanner ist doch ein "normaler" Benutzer?!
Au falle Fälle kommt immer noch die Meldung. Ich habe früher auch schon mal gelsen, dass die Policy nicht korrekt auf Änderungen reagiert. Ist das vielleicht möglich?
Gruß
Michael
Wie Samtpfote schon schrieb, ist die Passwortfrage in einer Policy im Teil "Computerconfiguration" geregelt. Du musst also wohl oder übel das Computerkonto des PC's, an dem der Scanner angeschlossen ist, in eine eigene Organisationseinheit (OU) verschieben und die Policy au diese OU linken, die Änderungen gelten dann natürlich auch für alle anderen User, die sich an diesem PC anmelden,
Gruß
Atti
Gruß
Atti
Also ich hätte bei der Delegierung der Domain Policy beim Hinzufügen des Benutzers einfach das Computerkonto des Scanner PCs hinzugefügt und dann das Deny gesetzt. (je nach Einstellungen eventuell auch den Benutzer der am Scanner PC verwendet wird...)
Samti
Samti
Auch auf die Gefahr hin, dass ich mich als dämlich oute. Der Scanner ist kein PC. Es ist ein netzwerkfähiger Kyocera Scanner. Anmelden kann ich mich über den Scanner ja nur als Benutzer.
Gruß
Michael
Gruß
Michael
Dann setzt Du das Deny für den Benutzer den Du am Scanner benutzt (sollte ein eigener Benutzeraccount sein)
