Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Übernahme der Default Policy für Domain Administratoren

Frage Microsoft

Mitglied: Mr.White

Mr.White (Level 1) - Jetzt verbinden

06.04.2012 um 23:33 Uhr, 5915 Aufrufe, 7 Kommentare

Hallo zusammen,

ich bin in diesem Forum neu und habe seit kurzem ein Verständigungsproblem mit Kennwortichtlinien bzw. Allgemeine Computerrichtlinien. Wir haben etwa 15 Domain User darunter 4 Domain Administratoren. Die 11 normalen User sollen ihre Eigene Benutzer GPO sowie die Defaut Policy übernehmen. Dieser Part funktioniert auch einwandfrei, eben so wie es sich eben gehört Jetzt kommt mein eigentliches Problem, Ich möchte unter Kennwortrichtlinien sowohl die "Domain User" als auch die "Domain Administratoren" haben. Aber Richtlinien wie beispielsweise nach 3 maligen Anmeldeversuchen wird der Account gesperrt, soll eben nur für den "normalen Domain User" gelten und nicht für die "Domain Administratoren".
Meine Frage wäre um es kurz zu machen, ob es die Möglichkeit gibt beispielweise ein evtl. zweites "Default policy" zu erstellen welches nur für die "Domain Administratoren" gilt. Das heisst es gibt einen Default policy "nur" für den normalen " Domain User" und der andere explizit nur für die "Domain Administratoren". Ich möchte ja nicht, dass die Administratoren sich nach 3 maligen falschen Anmeldeversuchen sperren, dass wäre ja ein dickes Eigentor )). Selbstverständlich gibt es ja die Möglichkeit, dass man komplett die Administratoren aus der "Defuault Policy" übernahme rausnimmt. Aber dann sind eben Kennwortrichlinien wie "Komplexität, minimale Länge usw." nicht mehr für die Administratoren gültig und das möchte mein "Auftraggeber nicht".

Meine Sitaution ist etwas schwierig zu beschreiben, vielleicht kann mir jemand Tipps & Tricks geben, wie ich es schaffen kann eine "Default Policy zu haben" indem die Administratoren nicht gesperrt werden und trotzdem bestimmte Richtlinien einer " Default Policy" übernehmen.

Ich hoffe auf viele Antworten und bedanke mich im voraus.

PS: Schöne Feiertage und ein schönes WE

Eckdaten: Windows 2008 Server R2


Mit freundlichen Grüßen

Mr.White
Mitglied: nEmEsIs
07.04.2012 um 01:09 Uhr
Hi

du solltest deinem Auftraggeber aber auch klar machen, dass man mit nem Admin Account mehr mist machen kann als mit nem User Account...

Weil wenn das Admin Account nicht gesperrt wird und man munter Passwörter probieren kann ist das doch sehr doof. Sorry erstens hat man dafür mindestens ein Backupaccount. 2 tens ist der Admin wie auch die Benutzer nach der voreingestellten Zeit wieder aktiviert.

Ich mutmaße mal, dass dein Kunde Services laufen hat, wo Admin Account hinterlegt ist und wenn dort dann das Passwort geändert wird wird auch automatisch nach 3 Anmeldeversuchen das Account gesperrt.
Dafür würde ich aber extra Service Benutzer / Admins anlegen, und bei denen ne extra Police hinterlegen.

Klar kannst du das machen kopiere einfach die Default Police und ändere sie für die Admins und füge diese hinzu und nimm es aus der anderen raus.

Sicherheitstechnisch für mich fragwürdig ... aber immerhin noch besser als das PW am Bildschirm zu befestigen .... (wie bei der Brother Werbung....)
MfG Nemesis
Bitte warten ..
Mitglied: filippg
07.04.2012 um 02:46 Uhr
Hallo,

mit Windows 2008 ist es (bei einer Domain im 2008er Functional Level) erstmals möglich, mehrere Password Policies in einer Domäne zu haben. Ganz so einfach wie "kopiere einfach die Default Police und ändere sie" ist es aber nicht, mehr findet sich unter http://technet.microsoft.com/en-us/library/cc770394%28v=ws.10%29.aspx

Gruß

Filipp
Bitte warten ..
Mitglied: Mr.White
07.04.2012 um 09:23 Uhr
Hallo Nemesis,

vielen Dank erstmal für dein Beitrag . Sehe ich genauso, dass man evtl. auf einen "Service Benutzer" zugreifen könnte. Aber wie gesagt, der Kunde ist der König. Ich habe versucht die Default Policy zu duplizieren, damit die Kennwortrichtlinien ebenfalls unter "Computerkonfiguration" übernehmen werden können. Dieser Weg funktioniert leider nicht. Meines Wissens ( so habe ich es zumindest mitbekommen ) können Kennwortrichlinien nur an der "Domäne" eingesetzt werden. Gibt es vielleicht keine Richtlinie wo besagt, dass "Domain ADministratoren" nie gesperrt werden können o.ä ? Das würde mir schon weiterhelfen und mein Problem im nu lösen . Zum Thema Sicherheit, ganz klar ist nicht gerade die elegante Lösung, aber so soll es nunmal werden.

Ganz einfach wäre natürlich gewesen, eine eigene Kennwortichtlinie nur für die Admin OU zu erstellen. Aber leider sind gerade diese (Kennwort)Richtlinien nur über die "Computerkonfiguration" zu aktiveren.

Würd mich sehr freuen wenn du mir weiterhelfen könntest , tausen Dank nochmal
Bitte warten ..
Mitglied: Mr.White
07.04.2012 um 09:27 Uhr
Hallo Filippg,

vielen Dank erst einmal für dein Beitrag. Wir haben zwar einen Windows 2008 Server am laufen, aber da es vor der Installation noch Windows Server 2003 im Einsatz war, mussten wir die Domäne in der 2003er FunktionLevel einstufen. Lt. Kunde war es nunmal so gewollt, sollte auch so bleiben.


Ich denke mein Problem ist eig. ganz simpel ( vermute ich mal), nur die "Domain Admins" aus der Default Policy rauszunehmen und eine eigene Default Policy zu erstellen funktioniert leider nicht aufgrund davon, weil die Kennwortrichtlinien nunmal unter "Computerkonfiguration" zu finden sind.

Würde mich sehr freuen wenn du mir weiterhelfen könntest.

Viele Grüße

Mr.White
Bitte warten ..
Mitglied: GuentherH
07.04.2012 um 11:07 Uhr
Hi.

Wie wäre es mit -> Eigenschaft des Benutzers -> Kennwort läuft nie ab und Kennwort kann nicht geändert werden

Und die Kontosperrung aus Sicherheitsgründen so belassen wie sie ist. Oder sind Admins vergesslicher als die User

Und, ein 2. Richtlinie geht nicht.

LG Günther
Bitte warten ..
Mitglied: Mr.White
07.04.2012 um 12:05 Uhr
Hallo Günther,

vielen Dank für dein Eintrag. Ok, das heißt ich kann jeden "Domain Administrator" unter "Eigenschaften" diese zwei Häkchen sprich für "Kennwort läuft nie ab" und "Kennwort kann nicht geändert werden" einsetzen und dadurch werden die "Default Policy" übernommen, sprich indem Fall kann ich diese "Kontosperrung" für "Domain Administratoren" überbrücken. Wird aber die "Kontosperrungrichtlinie" nicht in irgend einer Art und Weise meckern? Kann mir nicht vorstellen, dass ich diese Richtlinie somit überbrücken kann?

Viele Grüße und ein schönes WE


PS: Es hat funktioniert, hab es vorhin ausprobiert : ))))

Ich werde euch aber auf dem Stand halten, falls es noch weitergehen sollte.
Bitte warten ..
Mitglied: DerWoWusste
09.04.2012 um 12:45 Uhr
Moin.

Mit Verlaub: der Beitrag beeindruckt durch einige Wissenslücken gepaart mit Ungenauigkeiten bei der Beschreibung.
Am Wichtigsten ist zunächst: Warum stufst Du den Funktionslevel nicht auf 2008 hoch, dann kannst Du doch PSOs verwenden? Solange kein DC mehr 2003 hat, kannst Du das sofort tun, Mitgliedsserver spielen hierbei keine Rolle, die können ruhig noch 2003er sein. Dann: Ausnahmen für einige Domänenkonten aus der Policy kann man ohne PSO nämlich nicht bewerkstelligen. Liegt schlicht daran, dass die Kennwortrichtlinie auf dem DC angewendet wird und da für alle Domänenkonten gleich - es ist keine nutzergebundene Richtlinie, sondern eine computergebundene. Du könntest also als Ausnahme nur den DC wählen, aber dann unterliegt kein einziges Domänenkonto mehr der Kennwortpolicy.
Weiter: Das Konto des eingebauten Domänenadmins "Administrator" kann nicht dauerhaft gesperrt werden, es sperrt sich zwar, wird jedoch bei der nächsten korrekten Eingabe sofort entsperrt. Versuch es einfach, wenn Du es nicht glaubst. Hier hat MS also eine Ausnahmeregelung getroffen, die davor schützt, dass alle Admins dauerhaft geperrt werden können. Also ich würde die Sperrung von Domadminkonten in jedem Fall mindestens so hart einstellen, wie die von anderen.

Noch weiter: Sperren nach 3maliger Fehleingabe? Du bist mutig, das wird sehr häufig vorkommen und die Nutzer werden dich oft nerven. Mach lieber 5 Mal draus. Der Sicherheitsgewinn ist doch minimal.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst GPO Audit Policy nur in Default Domain Policy konfigurierbar? (12)

Frage von tombola22 zum Thema Windows Server ...

Windows Server
gelöst Default Domain Policy Fehlermeldung (3)

Frage von deredvtyp zum Thema Windows Server ...

Windows Server
gelöst Active Directory Domain Default User Profile (for Windows 8.1) (4)

Frage von adm2015 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...