Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft

GELÖST

Übernahme der Default Policy für Domain Administratoren

Mitglied: Mr.White

Mr.White (Level 1) - Jetzt verbinden

06.04.2012 um 23:33 Uhr, 6112 Aufrufe, 7 Kommentare

Hallo zusammen,

ich bin in diesem Forum neu und habe seit kurzem ein Verständigungsproblem mit Kennwortichtlinien bzw. Allgemeine Computerrichtlinien. Wir haben etwa 15 Domain User darunter 4 Domain Administratoren. Die 11 normalen User sollen ihre Eigene Benutzer GPO sowie die Defaut Policy übernehmen. Dieser Part funktioniert auch einwandfrei, eben so wie es sich eben gehört Jetzt kommt mein eigentliches Problem, Ich möchte unter Kennwortrichtlinien sowohl die "Domain User" als auch die "Domain Administratoren" haben. Aber Richtlinien wie beispielsweise nach 3 maligen Anmeldeversuchen wird der Account gesperrt, soll eben nur für den "normalen Domain User" gelten und nicht für die "Domain Administratoren".
Meine Frage wäre um es kurz zu machen, ob es die Möglichkeit gibt beispielweise ein evtl. zweites "Default policy" zu erstellen welches nur für die "Domain Administratoren" gilt. Das heisst es gibt einen Default policy "nur" für den normalen " Domain User" und der andere explizit nur für die "Domain Administratoren". Ich möchte ja nicht, dass die Administratoren sich nach 3 maligen falschen Anmeldeversuchen sperren, dass wäre ja ein dickes Eigentor )). Selbstverständlich gibt es ja die Möglichkeit, dass man komplett die Administratoren aus der "Defuault Policy" übernahme rausnimmt. Aber dann sind eben Kennwortrichlinien wie "Komplexität, minimale Länge usw." nicht mehr für die Administratoren gültig und das möchte mein "Auftraggeber nicht".

Meine Sitaution ist etwas schwierig zu beschreiben, vielleicht kann mir jemand Tipps & Tricks geben, wie ich es schaffen kann eine "Default Policy zu haben" indem die Administratoren nicht gesperrt werden und trotzdem bestimmte Richtlinien einer " Default Policy" übernehmen.

Ich hoffe auf viele Antworten und bedanke mich im voraus.

PS: Schöne Feiertage und ein schönes WE

Eckdaten: Windows 2008 Server R2


Mit freundlichen Grüßen

Mr.White
Mitglied: nEmEsIs
07.04.2012 um 01:09 Uhr
Hi

du solltest deinem Auftraggeber aber auch klar machen, dass man mit nem Admin Account mehr mist machen kann als mit nem User Account...

Weil wenn das Admin Account nicht gesperrt wird und man munter Passwörter probieren kann ist das doch sehr doof. Sorry erstens hat man dafür mindestens ein Backupaccount. 2 tens ist der Admin wie auch die Benutzer nach der voreingestellten Zeit wieder aktiviert.

Ich mutmaße mal, dass dein Kunde Services laufen hat, wo Admin Account hinterlegt ist und wenn dort dann das Passwort geändert wird wird auch automatisch nach 3 Anmeldeversuchen das Account gesperrt.
Dafür würde ich aber extra Service Benutzer / Admins anlegen, und bei denen ne extra Police hinterlegen.

Klar kannst du das machen kopiere einfach die Default Police und ändere sie für die Admins und füge diese hinzu und nimm es aus der anderen raus.

Sicherheitstechnisch für mich fragwürdig ... aber immerhin noch besser als das PW am Bildschirm zu befestigen .... (wie bei der Brother Werbung....)
MfG Nemesis
Bitte warten ..
Mitglied: filippg
07.04.2012 um 02:46 Uhr
Hallo,

mit Windows 2008 ist es (bei einer Domain im 2008er Functional Level) erstmals möglich, mehrere Password Policies in einer Domäne zu haben. Ganz so einfach wie "kopiere einfach die Default Police und ändere sie" ist es aber nicht, mehr findet sich unter http://technet.microsoft.com/en-us/library/cc770394%28v=ws.10%29.aspx

Gruß

Filipp
Bitte warten ..
Mitglied: Mr.White
07.04.2012 um 09:23 Uhr
Hallo Nemesis,

vielen Dank erstmal für dein Beitrag . Sehe ich genauso, dass man evtl. auf einen "Service Benutzer" zugreifen könnte. Aber wie gesagt, der Kunde ist der König. Ich habe versucht die Default Policy zu duplizieren, damit die Kennwortrichtlinien ebenfalls unter "Computerkonfiguration" übernehmen werden können. Dieser Weg funktioniert leider nicht. Meines Wissens ( so habe ich es zumindest mitbekommen ) können Kennwortrichlinien nur an der "Domäne" eingesetzt werden. Gibt es vielleicht keine Richtlinie wo besagt, dass "Domain ADministratoren" nie gesperrt werden können o.ä ? Das würde mir schon weiterhelfen und mein Problem im nu lösen . Zum Thema Sicherheit, ganz klar ist nicht gerade die elegante Lösung, aber so soll es nunmal werden.

Ganz einfach wäre natürlich gewesen, eine eigene Kennwortichtlinie nur für die Admin OU zu erstellen. Aber leider sind gerade diese (Kennwort)Richtlinien nur über die "Computerkonfiguration" zu aktiveren.

Würd mich sehr freuen wenn du mir weiterhelfen könntest , tausen Dank nochmal
Bitte warten ..
Mitglied: Mr.White
07.04.2012 um 09:27 Uhr
Hallo Filippg,

vielen Dank erst einmal für dein Beitrag. Wir haben zwar einen Windows 2008 Server am laufen, aber da es vor der Installation noch Windows Server 2003 im Einsatz war, mussten wir die Domäne in der 2003er FunktionLevel einstufen. Lt. Kunde war es nunmal so gewollt, sollte auch so bleiben.


Ich denke mein Problem ist eig. ganz simpel ( vermute ich mal), nur die "Domain Admins" aus der Default Policy rauszunehmen und eine eigene Default Policy zu erstellen funktioniert leider nicht aufgrund davon, weil die Kennwortrichtlinien nunmal unter "Computerkonfiguration" zu finden sind.

Würde mich sehr freuen wenn du mir weiterhelfen könntest.

Viele Grüße

Mr.White
Bitte warten ..
Mitglied: GuentherH
07.04.2012 um 11:07 Uhr
Hi.

Wie wäre es mit -> Eigenschaft des Benutzers -> Kennwort läuft nie ab und Kennwort kann nicht geändert werden

Und die Kontosperrung aus Sicherheitsgründen so belassen wie sie ist. Oder sind Admins vergesslicher als die User

Und, ein 2. Richtlinie geht nicht.

LG Günther
Bitte warten ..
Mitglied: Mr.White
07.04.2012 um 12:05 Uhr
Hallo Günther,

vielen Dank für dein Eintrag. Ok, das heißt ich kann jeden "Domain Administrator" unter "Eigenschaften" diese zwei Häkchen sprich für "Kennwort läuft nie ab" und "Kennwort kann nicht geändert werden" einsetzen und dadurch werden die "Default Policy" übernommen, sprich indem Fall kann ich diese "Kontosperrung" für "Domain Administratoren" überbrücken. Wird aber die "Kontosperrungrichtlinie" nicht in irgend einer Art und Weise meckern? Kann mir nicht vorstellen, dass ich diese Richtlinie somit überbrücken kann?

Viele Grüße und ein schönes WE


PS: Es hat funktioniert, hab es vorhin ausprobiert : ))))

Ich werde euch aber auf dem Stand halten, falls es noch weitergehen sollte.
Bitte warten ..
Mitglied: DerWoWusste
09.04.2012 um 12:45 Uhr
Moin.

Mit Verlaub: der Beitrag beeindruckt durch einige Wissenslücken gepaart mit Ungenauigkeiten bei der Beschreibung.
Am Wichtigsten ist zunächst: Warum stufst Du den Funktionslevel nicht auf 2008 hoch, dann kannst Du doch PSOs verwenden? Solange kein DC mehr 2003 hat, kannst Du das sofort tun, Mitgliedsserver spielen hierbei keine Rolle, die können ruhig noch 2003er sein. Dann: Ausnahmen für einige Domänenkonten aus der Policy kann man ohne PSO nämlich nicht bewerkstelligen. Liegt schlicht daran, dass die Kennwortrichtlinie auf dem DC angewendet wird und da für alle Domänenkonten gleich - es ist keine nutzergebundene Richtlinie, sondern eine computergebundene. Du könntest also als Ausnahme nur den DC wählen, aber dann unterliegt kein einziges Domänenkonto mehr der Kennwortpolicy.
Weiter: Das Konto des eingebauten Domänenadmins "Administrator" kann nicht dauerhaft gesperrt werden, es sperrt sich zwar, wird jedoch bei der nächsten korrekten Eingabe sofort entsperrt. Versuch es einfach, wenn Du es nicht glaubst. Hier hat MS also eine Ausnahmeregelung getroffen, die davor schützt, dass alle Admins dauerhaft geperrt werden können. Also ich würde die Sperrung von Domadminkonten in jedem Fall mindestens so hart einstellen, wie die von anderen.

Noch weiter: Sperren nach 3maliger Fehleingabe? Du bist mutig, das wird sehr häufig vorkommen und die Nutzer werden dich oft nerven. Mach lieber 5 Mal draus. Der Sicherheitsgewinn ist doch minimal.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Default Domain Policy GPO
Frage von M.MarzWindows Server4 Kommentare

Hallo zusammen, im W2012 R2 ist diese o. g. Gruppenrichtlinie ganz oben aufgelistet. Bedeutet es, dass jede GPO die ...

Windows Server
Default Domain Policy Fehlermeldung
gelöst Frage von deredvtypWindows Server3 Kommentare

Hallo zusammen, ich baue gerade eine Testumgebung mit Server2008R2 auf. Bis jetzt habe ich DC1 und DC2. Alle Updates ...

Windows Server
GPO Audit Policy nur in Default Domain Policy konfigurierbar?
gelöst Frage von tombola22Windows Server12 Kommentare

Hallo zusammen, ich habe leider nichts Genaueres dazu im Internet gefunden Durch Herumprobieren habe ich herausgefunden, dass die Audit ...

Windows Server
Proxy aus Default Domain Policy entfernen
gelöst Frage von CoreknabeWindows Server5 Kommentare

Moin Wissende, wir betreiben eine Server 2012-Domäne. Um unsere Passwortvergabe sicherer zu machen, habe ich per Gruppenrichtlinie definiert, dass ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 10 StundenLinux1 Kommentar

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit24 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...