Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Domain Policy für bestimmte Benutzer ausschließen?

Mitglied: go-support

go-support (Level 1) - Jetzt verbinden

22.02.2006, aktualisiert 24.02.2006, 9735 Aufrufe, 11 Kommentare

Hallo!

Ich möchte gerne auf einen SBS Server 2003 für einen Benutzer die Default Domain Policy umgehen. Folgender Hintergrund: Es ist ein Scanner im Netz aktiv. Dieser muss sich an der Domäne anmelden. Das ist ziemlich nervig, wenn man jedesmal über die Zahlentastatur den Benutzernamen und das Kennwort umständlich eintippen muss- nur um mal eben eine Seite zu scannnen. Ich kann machen, was ich will, es kommt immer der Hinweis dass das Kennwort nicht den Komlexibilitätsrichtlininen entspricht. Ich habe gedacht, dass ich den Benutzer Scanner einfach die Berechtigung "Einstellungen bearbeiten, Löschen, Sicherheit verändern gebe- klappt aber nicht. Hat jemand eine Idee?

Gruß

Michael
Mitglied: Dani
22.02.2006 um 20:07 Uhr
G' Abend,
Unter Start->Einstellungen->Systemsteuerung->Verwaltung gibt eine Verknüpfung names Richtlinien für die Domäne. Dort würde ich das ganze deaktivieren.

Gruß
Dani
Bitte warten ..
Mitglied: go-support
22.02.2006 um 20:38 Uhr
Hallo Dani,

danke für die schnelle Antwort. Ich habe da nichts gefunden, wo ich das abschalten kann. Ich möchte auch nur die Sicherheitsrichtlinien für den einen Benutzer umgehen.

Gruß

Michael
Bitte warten ..
Mitglied: Dani
22.02.2006 um 20:45 Uhr
Hi,
du könnetest den User in eine extra Organisationseinheit stecken. Dann extra eine GPO einrichten. Dann müsste es theoretisch gehen!

Gruß
Dani
Bitte warten ..
Mitglied: Samtpfote
22.02.2006 um 22:15 Uhr
Hallo Michael!
@Dani:
DENKEN ERLAUBT! Zuerst lesen, dann tippen. Wenn es die Default Domain Policy ist, ist Dein Vorschlag, den User in eine andere OU zu stecken so wertvoll wie ein kleines Steak, weil sich diese auf Domainebene befindet und jedenfalls auf alle authentifizierten Benutzer angewendet wird.

@michael:
Ist zwar nicht besonders elegant, aber die einzige Möglichkeit: Du kannst dem Benutzer für die Gruppenrichtlinie ein DENY für Lesen setzen, das überschreibt immer alles.
Dazu machst Du wenn du den Gruppenrichtlinieneditor benutzt (der bei sbs 2003 automatisch mitinstalliert wird) folgendes:

1. im Gruppenrichtlinieneditor Default Domain Policy anklicken
2. auf Delegierung klicken
3. Auf Erweitert klicken
4. das Scannerkonto hinzufügen (Pass aber auf, daß es das Computerkonto ist, denn die Kennwortrichtlinien sind Computereinstellungen, nicht Benutzereinstellungen!) und anklicken
5. Bei Lesen und Gruppenrichtlinie übernehmen jeweils Verweigern anklicken. (Das Verweigern=Deny ist immer stärker, daher wird dann die GPO für dieses Konto NICHT angewendet! Damit kann man aber viel Blödsinn machen, also mit Vorsicht einsetzen)

Samti
Bitte warten ..
Mitglied: Atti58
23.02.2006 um 08:31 Uhr
@Samti

... kompetent und klar wie immer ...

Gruß

Atti
Bitte warten ..
Mitglied: go-support
23.02.2006 um 09:02 Uhr
Hallo Samti,

vielen Dank für den Tipp. Werde ich gleich ausprobieren und später berichten.

Gruß

Michael
Bitte warten ..
Mitglied: go-support
23.02.2006 um 19:53 Uhr
Hallo Samti,

ich habe es jetzt so probiert, wie von Dir vorgeschlagen. Das mit dem Computerkonto habe ich allerdings nicht verstanden. Scanner ist doch ein "normaler" Benutzer?!

Au falle Fälle kommt immer noch die Meldung. Ich habe früher auch schon mal gelsen, dass die Policy nicht korrekt auf Änderungen reagiert. Ist das vielleicht möglich?

Gruß

Michael
Bitte warten ..
Mitglied: Atti58
24.02.2006 um 08:22 Uhr
Wie Samtpfote schon schrieb, ist die Passwortfrage in einer Policy im Teil "Computerconfiguration" geregelt. Du musst also wohl oder übel das Computerkonto des PC's, an dem der Scanner angeschlossen ist, in eine eigene Organisationseinheit (OU) verschieben und die Policy au diese OU linken, die Änderungen gelten dann natürlich auch für alle anderen User, die sich an diesem PC anmelden,

Gruß

Atti
Bitte warten ..
Mitglied: Samtpfote
24.02.2006 um 08:43 Uhr
Also ich hätte bei der Delegierung der Domain Policy beim Hinzufügen des Benutzers einfach das Computerkonto des Scanner PCs hinzugefügt und dann das Deny gesetzt. (je nach Einstellungen eventuell auch den Benutzer der am Scanner PC verwendet wird...)
Samti
Bitte warten ..
Mitglied: go-support
24.02.2006 um 08:50 Uhr
Auch auf die Gefahr hin, dass ich mich als dämlich oute. Der Scanner ist kein PC. Es ist ein netzwerkfähiger Kyocera Scanner. Anmelden kann ich mich über den Scanner ja nur als Benutzer.

Gruß

Michael
Bitte warten ..
Mitglied: Samtpfote
24.02.2006 um 08:54 Uhr
Dann setzt Du das Deny für den Benutzer den Du am Scanner benutzt (sollte ein eigener Benutzeraccount sein)
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Bestimmte Zieladressen aus dem NAT ausschließen

Frage von MS-NinkRouter & Routing5 Kommentare

Hallo zusammen, ich habe folgendes Problem, ich habe einen Server, der aus dem Web Daten über eine feste öffentliche ...

Windows Server

Bestimmte Ordner bei Ordnerumleitung ausschließen

Frage von ey-joWindows Server3 Kommentare

Hallo Community, wir nutzen bei uns servergespeicherte Profile. Dort habe ich ua. die Anwendungsdaten umgeleitet. Nun startet ein Programm ...

Windows Server

GPO Audit Policy nur in Default Domain Policy konfigurierbar?

gelöst Frage von tombola22Windows Server12 Kommentare

Hallo zusammen, ich habe leider nichts Genaueres dazu im Internet gefunden Durch Herumprobieren habe ich herausgefunden, dass die Audit ...

Windows Server

Default Domain Policy GPO

Frage von M.MarzWindows Server4 Kommentare

Hallo zusammen, im W2012 R2 ist diese o. g. Gruppenrichtlinie ganz oben aufgelistet. Bedeutet es, dass jede GPO die ...

Neue Wissensbeiträge
iOS
IOS 12.2 beta und OpenVPN iPad und iPhone
Erfahrungsbericht von magicteddy vor 6 StundeniOS

Moin, kleiner Hinweis an die experimentierfreudigen unter Euch: Bei der aktuellen beta gibt es ein Problem im Zusammenspiel zwischen ...

Vmware
VMware Tools 10.3 verfügbar
Information von sabines vor 9 StundenVmware

Eine Sicherheitslücke wird mit den Tools der Version 10.3 geschlossen, die Tools müssen auf jeder VM aktualisiert werden. Näheres ...

Apple

Apple aktualisiert MacBook Pro, mit bis zu sechs Kernen

Information von Vision2015 vor 2 TagenApple

Jawohlchen das Warten hat sich gelohnt :-) Apple aktualisiert MacBook Pro Frank

Verschlüsselung & Zertifikate

In-place Upgrade verschlüsselter Windows-Systeme mittels reflectdrivers

Tipp von DerWoWusste vor 4 TagenVerschlüsselung & Zertifikate1 Kommentar

Hinter diesem sperrigen Titel verbirgt sich die Info, dass offenbar seit Win10 v1607 im Windows-Setup (setup.exe der CD/des USB-Sticks) ...

Heiß diskutierte Inhalte
Microsoft
Dringend: Nach neustart kein zugriff mehr per RDP möglich - vermutlich wegen gelöschter SID in AD
gelöst Frage von sven784230Microsoft29 Kommentare

Hallo zusammen, gerade hat ein Server 2012 (terminalserver + Active directory) einen geplanten Neustart durchgeführt, wenn ich mich jetzt ...

Exchange Server
Exchange 2013 - Update schlägt fehlt
gelöst Frage von chb1982Exchange Server20 Kommentare

Hallo zusammen, kann sich jemand einen Reim auf die unten stehenden Fehlermeldung machen? Sie tritt auf beim Update von ...

Firewall
Pfsense - Package Manager - Unable to retrieve package information
Frage von nubyFirewall12 Kommentare

Hallo! Ich habe mit verschiedenen Versionen von Pfsense Probleme neue Packages herunterzuladen. Bei Pfsense 2.3.1 oder 2.3.5 heißt es: ...

Verschlüsselung & Zertifikate
Windows PKI root Zertifikate werden nicht aktualisiert
Frage von Chaser21aVerschlüsselung & Zertifikate10 Kommentare

Hallo Community, wir haben eine eigene Unternehmens PKI im Einsatz. Aktuell gibt es das Problem, dass mehrere ROOT- und ...