Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Domainadmin aus der Kennwortrichtlinie ausklammern

Frage Microsoft Windows Userverwaltung

Mitglied: cyberjunkie

cyberjunkie (Level 1) - Jetzt verbinden

17.11.2009 um 09:52 Uhr, 8017 Aufrufe, 11 Kommentare

Besteht die Möglichkeit bei aktivierter Kennwortrichtlinie (Default Domain Policy, SBS2003) den Domainenadministrator auszuschließen?
z.B. in dem ich die Sicherheitsfilterung authentifizierte Benutzer eintrage.

Danke und Gruß
Mitglied: StayTuned
17.11.2009 um 10:02 Uhr
Die Default Domain Policy gilt erstmal für alle. Deshalb default. Solange sich die User nicht in einer anderen OU befinden und übersteuernde Einstellungen zugewiesen bekommen.
Bitte warten ..
Mitglied: cyberjunkie
17.11.2009 um 10:16 Uhr
Aber wofür gibt es dann die Sicherheitsfilterung?
Bitte warten ..
Mitglied: DrDX2007
17.11.2009 um 10:25 Uhr
Das ist recht simpel. Um die Domain Admins auszuklammern erstellst du eine OU mit allen anderen Usern, wirfst die Authentifizierten Benutzer aus der Sicherheitsfilterung raus, und setzt dafür die o.g. OU ein. Somit gilt die Policy für alle, bis auf die Domain Admins. Ein klarer Nachteil bei dieser vorgehensweise ist natürlich, dass neue User / Computer in die OU eingepflegt werden müssen, damit die Policy auch für sie gilt.
Bitte warten ..
Mitglied: StayTuned
17.11.2009 um 10:29 Uhr
exakt so. Warum willst du gerade den Domainadmin da rauslassen? LG
Bitte warten ..
Mitglied: cyberjunkie
17.11.2009 um 10:55 Uhr
Zitat von StayTuned:
exakt so. Warum willst du gerade den Domainadmin da rauslassen? LG

Wir verwenden den Account des D-Admins in einigen Programmen die sich auf Clients oder Verzechnisse verbinden (Kaspersky Admin-kit, CA-Backup). Ich müßte dann jedesmal das neue Admin Passwort einpflegen.
Bitte warten ..
Mitglied: dholtmeier
17.11.2009 um 11:21 Uhr
Zitat von cyberjunkie:
Wir verwenden den Account des D-Admins in einigen Programmen die sich
auf Clients oder Verzechnisse verbinden (Kaspersky Admin-kit,
CA-Backup). Ich müßte dann jedesmal das neue Admin Passwort
einpflegen.

Ich würde mir an dieser Stelle einfach einen Extra-Benutzer dafür anlegen und das nicht mit vollen Admin-Rechten, sondern nur den entsprechenden Rechten, um auf bestimmte Freigaben zuzugreifen.
Hierfür natürlich eine extra OU anlegen und die Kennwortrichtlinie herausnehmen. Auch gerade aus Revisions-Sicht wäre dann wichtig, diese Benutzer nicht mit vollen Rechten auszustatten (wie bereits erwähnt).
Bitte warten ..
Mitglied: dog
17.11.2009 um 16:38 Uhr
Besteht die Möglichkeit bei aktivierter Kennwortrichtlinie (Default Domain Policy, SBS2003) den Domainenadministrator auszuschließen?

In einer 2003 Umgebung gibt es keine Möglichkeit alternierende Kennwortrichtlinienen zu erstellen.
Es gilt immer und für Alle die Richtlinie der "Default Domain Policy".
Das ist eine technische Beschränkung, die sich erst mit Server 2008 geändert hat.

Grüße

Max
Bitte warten ..
Mitglied: 2hard4you
17.11.2009 um 18:47 Uhr
Moin,

für Dienste, die Ihr ja habt, kann man Diensteaccounts anlegen, harte Paßwörter, Paßwort läuft nicht ab, Paßwort liegt im Safe

Gruß

24
Bitte warten ..
Mitglied: DerWoWusste
17.11.2009 um 23:55 Uhr
Da ja die Meinungen schwer auseinandergehen unterstütze ich (größtenteils) dog.
Fakten am Rand:
-die Policy ist eine Computerpolicy - sie hat mit Userobjekten rein gar nichts zu tun
-die Kontendatenbank mit den Domänenkonten ist die jenige, auf die die Richtlinie in der Regel angewendet werden soll - sie liegt auf den DCs.
-die Policy, falls über die Default Domain Policy angewendet, greift sowohl für lokale als auch für Domänenkonten
-die Policy, falls über die Default Domain Controllers Policy angewendet (also nur auf den DCs), greift nur für Domänenkonten
-der Leitspruch "bis 2003 gilt: eine Kennwortpolicy pro Domäne" ist ungenau, er müsste lauten "bis 2003 gilt: eine Kennwortpolicy pro Domäne bezogen auf die Domänenkonten", denn für lokale Konten kann man beliebig viele Policies definieren.

Dennoch kannst Du für den Admin [exklusiv] festlegen (falls es das ist, was Du Dir erhoffst), dass sein Kennwort nie abläuft. Ganz einfach über die Eigenschaften des Benutzerobjektes.
Bitte warten ..
Mitglied: cyberjunkie
18.11.2009 um 12:54 Uhr
Zitat von DerWoWusste:
Dennoch kannst Du für den Admin [exklusiv] festlegen (falls es
das ist, was Du Dir erhoffst), dass sein Kennwort nie abläuft.
Ganz einfach über die Eigenschaften des Benutzerobjektes.

Du meinst einfach dieses Häkchen setzen das ist alles?
http://img5.imageshack.us/img5/3285/bildeh.jpg

Würde das auch bei anderen Usern funtionieren, angenommen der Chef sagt er möchte auch ausgeklammert werden?
Bitte warten ..
Mitglied: DerWoWusste
18.11.2009 um 18:36 Uhr
Ja, das meinte ich und es geht für beliebige Benutzer.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...