Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Einführen einer Kennwortrichtlinie über die Default Domain Policy oder nicht?

Mitglied: Cheops

Cheops (Level 1) - Jetzt verbinden

04.02.2008, aktualisiert 06.02.2008, 16626 Aufrufe, 7 Kommentare

Hallo Admins,

ich darf nun endlich eine Kennwortrichtlinie in unserer 2003 Domäne einführen. Ich sage "darf", weil das ein ziemlicher Kampf war. Man hatte kein Einsehen bis die Wirtschaftsprüfer auch darauf bestanden haben. Nun ja.

Mein 2003er AD besteht aus einem einzelnen Standort mit diversen OUs für die Abteilungen. Die Kennwortrichtlinie soll (zumindest im Moment) für alle gleich sein. Einige Dienstkonten sollten natürlich von der Richtlinie befreit sein.

Meine Überlegung wäre nun:

1. Ich verwende die Default Domain Policy, passe diese entsprechend an und verändere die einzelnen Dienstkonten so, dass die DDP dort nicht greift.

2. Ich lege am Standort eine eigene Policy an und werfe alle Dienstkonten in eine eigene OU und unterbreche dort die Vererbung. Damit wäre ich auch flexibler falls eine Abteilung doch mal andere Kennwortrichtlinen bekommen sollte.

Wie sind eure Erfahrungen? Wie habt ihr das bei euch oder Kunden gelöst?

Ach, noch etwas. Unsere Außendienstler sind über einen VPN Client zu uns verbunden. D.h. sie melden sich erst mit ihrem lokalen Domänenprofil an und öffnen dann erst die VPN Verbindung. Wisst ihr wie es sich dann mit der Kennwortänderung verhält? Das muss ich unbedingt noch testen!

Grüße
Mitglied: rubberduck
04.02.2008 um 15:02 Uhr
Hi Cheops

Das mit anderen Kennwortrichtlinien pro OU wird wahrscheinlich nicht funktionieren.
Ich bin mir ziemlich sicher (lasse mich aber gerne belehren) dass eine Kennwortrichtlinie für die gesamte Domäne gilt. Du kannst die Vererbung unterbrechen, damit wird aber alles unterbrochen. Mehrere Kennwortrichtlinien pro Domäne sind meines Wissens bis und mit Windows 2003 nicht möglich.

Aber unter Windows 2008 soll es auch pro OU Möglich sein.

Gruss
rubberduck
Bitte warten ..
Mitglied: 51705
04.02.2008 um 21:58 Uhr
Hallo Rubberduck,

deine Aussage:

Mehrere
Kennwortrichtlinien pro Domäne sind
meines Wissens bis und mit Windows 2003
nicht möglich.

ist, soweit mir bekannt, falsch. Du kannst für jede OU eine entsprechende Richtlinie definieren. Bei geeigneter Konfiguration der OUs kann auch ein Unterbrechen der Vererbung ausbleiben, was ich für überschaubarer halte.

Grüße, Steffen
Bitte warten ..
Mitglied: geTuemII
04.02.2008 um 21:58 Uhr
Hallo Cheops,

wieso läßt du nicht einfach die DDP in Ruhe (Haken aus Diese Richtlinie definieren raus) und erzeugst eigene Kennwortrichtlinie(n), die du dann dan OU zuordnen kannst?

Zu deiner zweiten Frage: für die Außendienstler mußt du die Richtlinen in den lokalen Policies dere Clients definieren.

BTW: Ich schließe mich voll inhaltlich smerlin an.

geTuemII
Bitte warten ..
Mitglied: rubberduck
05.02.2008 um 00:15 Uhr
Hallo srmerlin und geTuemII

Bitte lasst mich nicht Dumm sterben.

Ich habe hier eine Diskussion über Kennwortrichtlinien gefunden. Bitte lest es durch, wenn Ihr Zeit habt.
Dort wird ziemlich genau meine Ansicht beschrieben, die ich damals so gelernt habe:
Kennwortrichtlinien nur pro Domäne
(Sollte ja sowieso von der GL festgesetzt werden, was Unternehmensweit gelten soll)

Um eines klar zu stellen:
Ich behaupte nicht dass es nicht geht, ich habs nur anders gelernt. Und ich war noch nie in der Situation, dass ich in unterschiedlichen OU's unterschiedliche Kennwortrichtlinien gebraucht hätte.
Ich weiss nur, dass wenn ich in einer OU andere Kennwortrichtlinien setze, diese für lokale und nicht für Domänen Accounts gilt (war ebenfalls nie gefordert).

Oder reden wir vielleicht nicht vom selben?
Interessiert mich schon aus reiner Neugier (bitte mit Quellenangabe/Link) wie das gehen würde.
Bitte warten ..
Mitglied: 51705
05.02.2008 um 09:53 Uhr
Hallo rubberduck,

Ich weiss nur, dass wenn ich in einer OU
andere Kennwortrichtlinien setze, diese für
lokale und nicht für Domänen Accounts gilt

du hast natürlich recht. Ich hab da nicht zuende gedacht.

Danke für die Richtigstellung,
Steffen
Bitte warten ..
Mitglied: geTuemII
05.02.2008 um 15:31 Uhr
@rubberduck und smerlin:
Auch!

@Cheops:
Rubberduck hat natürlich recht, auch wenn du die Kennwortrichtlinie von der DDP trennst, muß sie trotzdem aus Domain-Ebene liegen. Es scheint aber Spezialsoftware zu geben: http://www.gruppenrichtlinien.de/index.html?/HowTo/Kennwortrichtlinien. ... im Bereich Das Wichtigste...

geTuemII
Bitte warten ..
Mitglied: 51705
06.02.2008 um 12:57 Uhr
Kleine Anmerkung:

Die Richtlinie kann auf einer separaten OU, welche die Domain Controller beherbergt liegen. So kannst du andere Richtlinien für lokale Benutzer von 'Nicht' Domain Controllern festlegen.


Oder liege ich auch hier falsch?

Grüße, Steffen
Bitte warten ..
Ähnliche Inhalte
Windows Server

GPO Kennwortrichtlinie wird ignoriert trotz default domain policy

gelöst Frage von GladiusWindows Server7 Kommentare

Hallo liebe Administratoren, nach meinen vergeblichen Recherchebemühungen erhoffe ich mir hier Hilfe zu finden. In der Firma, in welcher ...

Windows Server

Default Domain Policy GPO

Frage von M.MarzWindows Server4 Kommentare

Hallo zusammen, im W2012 R2 ist diese o. g. Gruppenrichtlinie ganz oben aufgelistet. Bedeutet es, dass jede GPO die ...

Windows Server

Default Domain Policy Fehlermeldung

gelöst Frage von deredvtypWindows Server3 Kommentare

Hallo zusammen, ich baue gerade eine Testumgebung mit Server2008R2 auf. Bis jetzt habe ich DC1 und DC2. Alle Updates ...

Windows Server

GPO Audit Policy nur in Default Domain Policy konfigurierbar?

gelöst Frage von tombola22Windows Server12 Kommentare

Hallo zusammen, ich habe leider nichts Genaueres dazu im Internet gefunden Durch Herumprobieren habe ich herausgefunden, dass die Audit ...

Neue Wissensbeiträge
Microsoft

Neuigkeiten zu Server und Office 365 was läuft mit was und was nicht

Tipp von AlFalcone vor 13 StundenMicrosoft

Server Betriebssysteme auf dem die verschiedenen Offices nicht supported sind: • Office 365 ist und wird nicht supported auf Windows ...

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 14 StundenSpeicherkarten1 Kommentar

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 16 StundenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 1 TagHardware1 Kommentar

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Windows 10
Sysprep Fehler im Log kann nicht starten
Frage von grillinator95Windows 1022 Kommentare

Hallo, kann leider SYSPREP nicht mehr starten, Win10 64bit. Logfile sagt folgendes: 2018-10-17 13:44:56, Info SYSPRP 2018-10-17 13:44:56, Info ...

Sicherheitsgrundlagen
EuGH-Urteil - Internetanschluss für die ganze Familie - Filesharer haften trotzdem
Frage von StefanKittelSicherheitsgrundlagen19 Kommentare

Hallo, In diesem Artikel geht es darum, dass Jemand aus der Familie ein Hörbuch illegal hochgeladen hat. Der Vater ...

Apple
MacBook Pro 2018 mit 8 GB oder 16 GB
Frage von SysAdm81Apple14 Kommentare

Hallo zusammen, ich steh vor der Überlegung mir ein MacBook Pro 13 (2018) zu kaufen. Bzgl. SSD habe ich ...

Outlook & Mail
Outlook schiebt Mails aus Posteingang sofort in den Papierkorb
Frage von hermesOutlook & Mail13 Kommentare

Hallo Outlook Fachleute, wir haben hier das Problem, dass Outlook 2010 alle ankommenden Mails seit zwei Tagen einfach in ...