sirlonestar
Goto Top

Windows Server 2003 Passwortrichtlinien individuell festlegen?

Passwortrichtlinien für USer oder Gruppe festlegen.

Ist es unter Windows 2003 möglich, die Richtlinien für das Passwort für jeden User oder Grupen individuell festzulegen?
Wenn ja wie?

Content-Key: 158363

Url: https://administrator.de/contentid/158363

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 11.01.2011 um 12:23:40 Uhr
Goto Top
Servus,

Kennwortrichtlinien die für Domänen-Benutzer gelten sollen, müssen auf Domänen-Ebene, idealerweise in der Default Domain Policy verlinkt werden.
Denn wenn du eine Kennwort-Richtlinie auf einer OU verlinkst, betrifft das lediglich die LOKALEN Benutzerkonten auf den Clients.
Diese Kennwortrichtlinie gilt dann aber für ALLE Domänen-Benutzer in der Domäne. Mit Bordmittel hast du unter Windows Server 2003 keine Möglichkeit,
mehrere Kennwortrichtlinien zu erstellen. Ausser du erstellst mehrere Domänen, denn jede Domäne hat dann seine eigene Kennwortrichtlinie.

Mit Bordmittel funktioniert das erst ab Windows Server 2008 und nennt sich dort "Password Settings Objects" kurz PSO.

[LDAP://Yusufs.Directory.Blog/ - Password Setting Objects erstellen und verwalten]
http://blog.dikmenoglu.de/Password+Setting+Objects+Erstellen+Und+Verwal ...


Wenn du unter Windows Server 2003 mit mehreren Kennwortrichtlinien arbeiten möchtest, musst du auf Dritt-Anbieter ausweichen.
Z.B.:

http://www.grurili.de/index.html?/Software/6.Specops_Password_Policy.ht ...


Viele Grüße

Yusuf Dikmenoglu
Mitglied: SirLonestar
SirLonestar 11.01.2011 um 13:06:18 Uhr
Goto Top
Danke für die Info, ich werde es mir mal ansehen.
Mitglied: DerWoWusste
DerWoWusste 12.01.2011 um 00:24:33 Uhr
Goto Top
Hallo.
Anzumerken noch zu Yusufs
Kennwortrichtlinien die für Domänen-Benutzer gelten sollen, müssen auf Domänen-Ebene, idealerweise in der Default Domain Policy verlinkt werden
Das ist Ermessenssache. Man kann genauso ideal finden, eher die Default Domain Controllers Policy dafür zu nutzen oder sogar beide.
Nehme ich nur die DDCP, schütze ich Domänmenkonten, habe aber als User die Freiheit, für ("eigene") lokale Konten keine Auflagen befolgen zu müssen, was Entwicklern manchmal mehr als Recht ist.
Nehme ich beide, kann ich die lokalen Konten mit der DDP beherrschen und schwächere Auflagen für diese machen, während auf den DCs, und somit für alle Domänenkonten gültig, die DDCP zieht, sie hat Vorrang.

PS: Wer's nicht glaubt, muss es wohl oder übel ausprobieren.
Mitglied: Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 12.01.2011 um 10:38:34 Uhr
Goto Top
Moin,

Man kann genauso ideal finden, eher die Default Domain Controllers Policy dafür zu nutzen oder sogar beide.

moment mal... langsam... Die Kennwortrichtlinie wird von Computer- und *nicht* von Benutzerkonten umgesetzt.
Und zwar:

Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien

und

Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrungsrichtlinien

Wenn man jetzt die Kennwortrichtlinie in der DDCP konfiguriert und diese wie es sein sollte, nur auf die OU "Domain Controllers" verlinkt ist,
wirkt sie eben nicht auf die Computerkonten der Clients.

Ein weiterer Grund warum die Kennwortrichtline in der DDP konfigurieren sollte ist,
man kann die Einstellungen für die Kennwortrichtlinie in einer GPO vornehmen *und* direkt in den Attributen (maxPwdAge, minPwdAge, minPwdLength, pwdHistoryLength, pwdProperties...) auf dem PDC-Emulator.
Gerade wenn es mehrere Administratoren gibt, könnte einer auf die Idee kommen, die Einstellungen direkt in den Attributen vorzunehmen.
Durch einen automatischen Prozess werden dann die Werte in die Kennwortrichtlinie, aber NUR in die DDP synchronisiert.
Damit es an dieser Stelle eben nicht zu Verwirrungen kommt, sollte die Kennwortrichtlinie in der DDP konfiguriert werden.


Gruß, Yusuf Dikmenoglu
Mitglied: DerWoWusste
DerWoWusste 12.01.2011 um 12:30:14 Uhr
Goto Top
Moin Yusuf!
Wenn man jetzt die Kennwortrichtlinie in der DDCP konfiguriert und diese wie es sein sollte, nur auf die OU "Domain Controllers" verlinkt ist, wirkt sie eben nicht auf die Computerkonten der Clients.
Richtig, natürlich nicht. Wenn es um Domänenkonten geht, braucht sie das ja auch gar nicht zu tun.
Du verstehst nicht ganz richtig, welchen Nachteil ich an der nur-die-DDP-benutzen-Doktrin herausstelle: Man verliert die Möglichkeit, für lokale Konten eine andere Policy zu benutzen (bzw. keine Restriktionen zu setzen).
Mitglied: Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 12.01.2011 um 19:54:16 Uhr
Goto Top
Bonjour,

Du verstehst nicht ganz richtig, welchen Nachteil ich an der nur-die-DDP-benutzen-Doktrin herausstelle

doch, ich halte die DDP "per se" für jede Umgebung geeignet.
Denn in den Umgebungen die du ansprichst und die mit Sicherheit eher die Ausnahme sind, kann man dann zusätzlich eine extra OU erstellen,
die entsprechenden Clients in die neue OU verschieben und die GPO-Vererbung deaktivieren. Damit hast du dann an den entsprechenden Clients ebenfalls keine Restriktion.


Gruß, Yusuf
Mitglied: gmeurb
gmeurb 07.02.2011 um 11:20:30 Uhr
Goto Top
Hallo Leute,

mal ne andere Frage zum Thema.

Wenn ich die Passwortrichtlinie von 7 auf 8 Charakters hochsetze, ab wann greift das denn?

Erst nachdem das aktuelle Passwort abgelaufen ist oder gleich bei der ersten Anmeldung?

Mir geht es da z.B. um Serviceaccounts, bei denen ich verhindern möchte, dass die nach dem hochsetzen auf 8 Zeichen nicht mehr funzen, aber natürlich auch um die Anwender, die idealerweise erst bei der nächsten Turnusmäßigen Passwortänderung damit konfrontiert werden sollen, sonst steigen die mir ins Hirn! face-wink

Danke und Gruß
Eric
Mitglied: DerWoWusste
DerWoWusste 07.02.2011 um 11:36:19 Uhr
Goto Top
Das greift erst bei der nächsten Änderung/Ablauf.
Edit: Wg. Serviceaccounts und Kennwortablauf - denk mal drüber nach, das lokale Systemkonto zu verwenden. Bei Domänenzugehörigkeit kann dies auch im Netzwerk handeln. Das Kennwort des Systemkontos wird automatisch geändert und Du hast eine Sorge weniger.