Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Domain Policy für bestimmte Benutzer ausschließen?

Frage Microsoft Windows Server

Mitglied: go-support

go-support (Level 1) - Jetzt verbinden

22.02.2006, aktualisiert 24.02.2006, 8890 Aufrufe, 11 Kommentare

Hallo!

Ich möchte gerne auf einen SBS Server 2003 für einen Benutzer die Default Domain Policy umgehen. Folgender Hintergrund: Es ist ein Scanner im Netz aktiv. Dieser muss sich an der Domäne anmelden. Das ist ziemlich nervig, wenn man jedesmal über die Zahlentastatur den Benutzernamen und das Kennwort umständlich eintippen muss- nur um mal eben eine Seite zu scannnen. Ich kann machen, was ich will, es kommt immer der Hinweis dass das Kennwort nicht den Komlexibilitätsrichtlininen entspricht. Ich habe gedacht, dass ich den Benutzer Scanner einfach die Berechtigung "Einstellungen bearbeiten, Löschen, Sicherheit verändern gebe- klappt aber nicht. Hat jemand eine Idee?

Gruß

Michael
Mitglied: Dani
22.02.2006 um 20:07 Uhr
G' Abend,
Unter Start->Einstellungen->Systemsteuerung->Verwaltung gibt eine Verknüpfung names Richtlinien für die Domäne. Dort würde ich das ganze deaktivieren.

Gruß
Dani
Bitte warten ..
Mitglied: go-support
22.02.2006 um 20:38 Uhr
Hallo Dani,

danke für die schnelle Antwort. Ich habe da nichts gefunden, wo ich das abschalten kann. Ich möchte auch nur die Sicherheitsrichtlinien für den einen Benutzer umgehen.

Gruß

Michael
Bitte warten ..
Mitglied: Dani
22.02.2006 um 20:45 Uhr
Hi,
du könnetest den User in eine extra Organisationseinheit stecken. Dann extra eine GPO einrichten. Dann müsste es theoretisch gehen!

Gruß
Dani
Bitte warten ..
Mitglied: Samtpfote
22.02.2006 um 22:15 Uhr
Hallo Michael!
@Dani:
DENKEN ERLAUBT! Zuerst lesen, dann tippen. Wenn es die Default Domain Policy ist, ist Dein Vorschlag, den User in eine andere OU zu stecken so wertvoll wie ein kleines Steak, weil sich diese auf Domainebene befindet und jedenfalls auf alle authentifizierten Benutzer angewendet wird.

@michael:
Ist zwar nicht besonders elegant, aber die einzige Möglichkeit: Du kannst dem Benutzer für die Gruppenrichtlinie ein DENY für Lesen setzen, das überschreibt immer alles.
Dazu machst Du wenn du den Gruppenrichtlinieneditor benutzt (der bei sbs 2003 automatisch mitinstalliert wird) folgendes:

1. im Gruppenrichtlinieneditor Default Domain Policy anklicken
2. auf Delegierung klicken
3. Auf Erweitert klicken
4. das Scannerkonto hinzufügen (Pass aber auf, daß es das Computerkonto ist, denn die Kennwortrichtlinien sind Computereinstellungen, nicht Benutzereinstellungen!) und anklicken
5. Bei Lesen und Gruppenrichtlinie übernehmen jeweils Verweigern anklicken. (Das Verweigern=Deny ist immer stärker, daher wird dann die GPO für dieses Konto NICHT angewendet! Damit kann man aber viel Blödsinn machen, also mit Vorsicht einsetzen)

Samti
Bitte warten ..
Mitglied: Atti58
23.02.2006 um 08:31 Uhr
@Samti

... kompetent und klar wie immer ...

Gruß

Atti
Bitte warten ..
Mitglied: go-support
23.02.2006 um 09:02 Uhr
Hallo Samti,

vielen Dank für den Tipp. Werde ich gleich ausprobieren und später berichten.

Gruß

Michael
Bitte warten ..
Mitglied: go-support
23.02.2006 um 19:53 Uhr
Hallo Samti,

ich habe es jetzt so probiert, wie von Dir vorgeschlagen. Das mit dem Computerkonto habe ich allerdings nicht verstanden. Scanner ist doch ein "normaler" Benutzer?!

Au falle Fälle kommt immer noch die Meldung. Ich habe früher auch schon mal gelsen, dass die Policy nicht korrekt auf Änderungen reagiert. Ist das vielleicht möglich?

Gruß

Michael
Bitte warten ..
Mitglied: Atti58
24.02.2006 um 08:22 Uhr
Wie Samtpfote schon schrieb, ist die Passwortfrage in einer Policy im Teil "Computerconfiguration" geregelt. Du musst also wohl oder übel das Computerkonto des PC's, an dem der Scanner angeschlossen ist, in eine eigene Organisationseinheit (OU) verschieben und die Policy au diese OU linken, die Änderungen gelten dann natürlich auch für alle anderen User, die sich an diesem PC anmelden,

Gruß

Atti
Bitte warten ..
Mitglied: Samtpfote
24.02.2006 um 08:43 Uhr
Also ich hätte bei der Delegierung der Domain Policy beim Hinzufügen des Benutzers einfach das Computerkonto des Scanner PCs hinzugefügt und dann das Deny gesetzt. (je nach Einstellungen eventuell auch den Benutzer der am Scanner PC verwendet wird...)
Samti
Bitte warten ..
Mitglied: go-support
24.02.2006 um 08:50 Uhr
Auch auf die Gefahr hin, dass ich mich als dämlich oute. Der Scanner ist kein PC. Es ist ein netzwerkfähiger Kyocera Scanner. Anmelden kann ich mich über den Scanner ja nur als Benutzer.

Gruß

Michael
Bitte warten ..
Mitglied: Samtpfote
24.02.2006 um 08:54 Uhr
Dann setzt Du das Deny für den Benutzer den Du am Scanner benutzt (sollte ein eigener Benutzeraccount sein)
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
gelöst GPO Audit Policy nur in Default Domain Policy konfigurierbar? (12)

Frage von tombola22 zum Thema Windows Server ...

Windows Server
gelöst Default Domain Policy Fehlermeldung (3)

Frage von deredvtyp zum Thema Windows Server ...

Sicherheits-Tools
gelöst 2 faktor authentifizierung windows domäne nur bestimmte benutzer (7)

Frage von kal10bach zum Thema Sicherheits-Tools ...

Windows Server
gelöst Ausnahmeregeln in GPOs für bestimmte Benutzer in der Domäne priorisieren aber wie? (3)

Frage von ITCrowdSupporter zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (24)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...