9
Kennwortrichtlinie für Bestimmte OU s
hallo erstmal, bei uns im haus haben alle user meist ein sehr sehr einfaches kennwort (zb. abc 123... ) dies ist uns noch ein kleiner dorn im auge und am einfachsten ist es doch, dies zu unterbinden, wenn man eine gpo anlegt. (kennwortrichtlinie)
jetzt gehts los.
ich würde gerne eine gpo anlegen, welche auf bestimmte ou's greift, da es mehrere ou's gibt wo servicebenutzer liegen, welche nicht angefasst werden dürfen/sollte. (ala backup user usw)
jetzt hab ich schon eine gpo erstellt, leider greift die gpo nicht auf die user, sondern auf die computer. ich tippe mal sehr stark drauf dass ich hier einen kleinen, aber entscheidenden fehler gemacht habe.
kann mir hier wer helfen, wie bzw wo ich die gpo erstellen muss, damit diese wirklich die domain user betrifft und nicht die user die an der lokalen maschine angemeldet sind?
vielen dank
ich würde gerne eine gpo anlegen, welche auf bestimmte ou's greift, da es mehrere ou's gibt wo servicebenutzer liegen, welche nicht angefasst werden dürfen/sollte. (ala backup user usw)
jetzt hab ich schon eine gpo erstellt, leider greift die gpo nicht auf die user, sondern auf die computer. ich tippe mal sehr stark drauf dass ich hier einen kleinen, aber entscheidenden fehler gemacht habe.
kann mir hier wer helfen, wie bzw wo ich die gpo erstellen muss, damit diese wirklich die domain user betrifft und nicht die user die an der lokalen maschine angemeldet sind?
vielen dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 135635
Url: https://administrator.de/contentid/135635
Printed on: April 24, 2024 at 02:04 o'clock
9 Comments
Latest comment
Moin,
die Kennwortrichtlinie greift immer nur auf Domänenebene,wird sie an anderer stelle konfiguriert greift sie nur für Lokale Benutzerkonten der betreffenden Computer in der OU, auf der diese Richtlinie angewandt wird.
die Kennwortrichtlinie greift immer nur auf Domänenebene,wird sie an anderer stelle konfiguriert greift sie nur für Lokale Benutzerkonten der betreffenden Computer in der OU, auf der diese Richtlinie angewandt wird.
tag,
das würd heißen, ich muss die ganzen "service" konten iwie ausgrenzen? den es ist ja doof, wenn ich hier ständig die pws ändern müsste. (kennwörter laufen nie ab?? kann ich damit die gpo unterdrücken bzw umgehen?)
ich dachte jetzt ich führe mehrere kennwortrichtlinien ein, je nachdem wie der dateizugriff ist.
gl = min 8 zeichen usw (da hier die wichtigesten dateien liegen)
verkauf= 6 zeichen (da hier die einzelnen programme alle nochmal kennwort geschützt sind)
dann is dieses schema quasi nicht anwendbar oder?
das würd heißen, ich muss die ganzen "service" konten iwie ausgrenzen? den es ist ja doof, wenn ich hier ständig die pws ändern müsste. (kennwörter laufen nie ab?? kann ich damit die gpo unterdrücken bzw umgehen?)
ich dachte jetzt ich führe mehrere kennwortrichtlinien ein, je nachdem wie der dateizugriff ist.
gl = min 8 zeichen usw (da hier die wichtigesten dateien liegen)
verkauf= 6 zeichen (da hier die einzelnen programme alle nochmal kennwort geschützt sind)
dann is dieses schema quasi nicht anwendbar oder?
Hallo.
Kens Antwort muss ich ergänzen: Du kannst Dein Ziel erreichen, indem Du die GPO nur auf die DCs anwendest - dort liegen die Domänenkonten. Lokale Konten wären so nicht betroffen. Nochmal: die Kennwortrichtlinie hat keine Auswirkungen auf Domänenkonten, wenn man sie auf Clients anwendet, sondern eh nur auf den DCs.
Zweiter Weg: 2008er DCs (ebenso im 2008er Funktionslevel: keine pre-2008-DCs möglich) mit PSOs nutzen - damit geht endlich eine benutzergebundene Zuweisung.
Kens Antwort muss ich ergänzen: Du kannst Dein Ziel erreichen, indem Du die GPO nur auf die DCs anwendest - dort liegen die Domänenkonten. Lokale Konten wären so nicht betroffen. Nochmal: die Kennwortrichtlinie hat keine Auswirkungen auf Domänenkonten, wenn man sie auf Clients anwendet, sondern eh nur auf den DCs.
Zweiter Weg: 2008er DCs (ebenso im 2008er Funktionslevel: keine pre-2008-DCs möglich) mit PSOs nutzen - damit geht endlich eine benutzergebundene Zuweisung.
achso ok.
aber da die konten ja auf den dc's zur anwendung kommen, werden hier ja auch die ganzen service konten miteingeschlossen.
gibt es jetzt einen weg wie ich diese "ausschließen" kann?
sozusagen "kennwort läuft nie ab??"
aber da die konten ja auf den dc's zur anwendung kommen, werden hier ja auch die ganzen service konten miteingeschlossen.
gibt es jetzt einen weg wie ich diese "ausschließen" kann?
sozusagen "kennwort läuft nie ab??"
sozusagen "kennwort läuft nie ab??"
Ja, öffne das Nutzerobjekt (das Servicekonto) in AD users and computers und setz den Haken bei Kennwort läuft nie ab.
des is wiederum sehr gut ;)
jetzt hab ich nur noch ein kleines problem.
mein vorgänger hat alle user *120 stück* so angelegt, dass bei jedem der haken *kennwort läuft nie ab* gesetzt ist...
wie bekomm ich diese jetzt raus? alle einzeln durchklicken ??
jetzt hab ich nur noch ein kleines problem.
mein vorgänger hat alle user *120 stück* so angelegt, dass bei jedem der haken *kennwort läuft nie ab* gesetzt ist...
wie bekomm ich diese jetzt raus? alle einzeln durchklicken ??
nein ,es reicht wenn du alle Markierst und dann mit rechten Mausklick auf Eigenschaften gehst und kannst dort dann diese Einstellung vornehmen.
Nein. Ab 2003 Server kann man dies Attribut in einem Rutsch setzen, indem man alle Objekte, die dafür in Frage kommen markiert und dann die Eigenschaften anzeigen lässt.
Edit: nun hast Du's doppelt ; )
Edit: nun hast Du's doppelt ; )
ok, dann sag ich vielen dank an euch ;)
habt mir echt weitergeholfen.
dann werd ich jetzt mal unsere user ein wenig ärgern ^^ oder wie es unser datenschützer ausdrücken würde, die sicherheit erhöhen. ;)
habt mir echt weitergeholfen.
dann werd ich jetzt mal unsere user ein wenig ärgern ^^ oder wie es unser datenschützer ausdrücken würde, die sicherheit erhöhen. ;)
