Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Domainadmin aus der Kennwortrichtlinie ausklammern

Frage Microsoft Windows Userverwaltung

Mitglied: cyberjunkie

cyberjunkie (Level 1) - Jetzt verbinden

17.11.2009 um 09:52 Uhr, 8266 Aufrufe, 11 Kommentare

Besteht die Möglichkeit bei aktivierter Kennwortrichtlinie (Default Domain Policy, SBS2003) den Domainenadministrator auszuschließen?
z.B. in dem ich die Sicherheitsfilterung authentifizierte Benutzer eintrage.

Danke und Gruß
Mitglied: StayTuned
17.11.2009 um 10:02 Uhr
Die Default Domain Policy gilt erstmal für alle. Deshalb default. Solange sich die User nicht in einer anderen OU befinden und übersteuernde Einstellungen zugewiesen bekommen.
Bitte warten ..
Mitglied: cyberjunkie
17.11.2009 um 10:16 Uhr
Aber wofür gibt es dann die Sicherheitsfilterung?
Bitte warten ..
Mitglied: DrDX2007
17.11.2009 um 10:25 Uhr
Das ist recht simpel. Um die Domain Admins auszuklammern erstellst du eine OU mit allen anderen Usern, wirfst die Authentifizierten Benutzer aus der Sicherheitsfilterung raus, und setzt dafür die o.g. OU ein. Somit gilt die Policy für alle, bis auf die Domain Admins. Ein klarer Nachteil bei dieser vorgehensweise ist natürlich, dass neue User / Computer in die OU eingepflegt werden müssen, damit die Policy auch für sie gilt.
Bitte warten ..
Mitglied: StayTuned
17.11.2009 um 10:29 Uhr
exakt so. Warum willst du gerade den Domainadmin da rauslassen? LG
Bitte warten ..
Mitglied: cyberjunkie
17.11.2009 um 10:55 Uhr
Zitat von StayTuned:
exakt so. Warum willst du gerade den Domainadmin da rauslassen? LG

Wir verwenden den Account des D-Admins in einigen Programmen die sich auf Clients oder Verzechnisse verbinden (Kaspersky Admin-kit, CA-Backup). Ich müßte dann jedesmal das neue Admin Passwort einpflegen.
Bitte warten ..
Mitglied: dholtmeier
17.11.2009 um 11:21 Uhr
Zitat von cyberjunkie:
Wir verwenden den Account des D-Admins in einigen Programmen die sich
auf Clients oder Verzechnisse verbinden (Kaspersky Admin-kit,
CA-Backup). Ich müßte dann jedesmal das neue Admin Passwort
einpflegen.

Ich würde mir an dieser Stelle einfach einen Extra-Benutzer dafür anlegen und das nicht mit vollen Admin-Rechten, sondern nur den entsprechenden Rechten, um auf bestimmte Freigaben zuzugreifen.
Hierfür natürlich eine extra OU anlegen und die Kennwortrichtlinie herausnehmen. Auch gerade aus Revisions-Sicht wäre dann wichtig, diese Benutzer nicht mit vollen Rechten auszustatten (wie bereits erwähnt).
Bitte warten ..
Mitglied: dog
17.11.2009 um 16:38 Uhr
Besteht die Möglichkeit bei aktivierter Kennwortrichtlinie (Default Domain Policy, SBS2003) den Domainenadministrator auszuschließen?

In einer 2003 Umgebung gibt es keine Möglichkeit alternierende Kennwortrichtlinienen zu erstellen.
Es gilt immer und für Alle die Richtlinie der "Default Domain Policy".
Das ist eine technische Beschränkung, die sich erst mit Server 2008 geändert hat.

Grüße

Max
Bitte warten ..
Mitglied: 2hard4you
17.11.2009 um 18:47 Uhr
Moin,

für Dienste, die Ihr ja habt, kann man Diensteaccounts anlegen, harte Paßwörter, Paßwort läuft nicht ab, Paßwort liegt im Safe

Gruß

24
Bitte warten ..
Mitglied: DerWoWusste
17.11.2009 um 23:55 Uhr
Da ja die Meinungen schwer auseinandergehen unterstütze ich (größtenteils) dog.
Fakten am Rand:
-die Policy ist eine Computerpolicy - sie hat mit Userobjekten rein gar nichts zu tun
-die Kontendatenbank mit den Domänenkonten ist die jenige, auf die die Richtlinie in der Regel angewendet werden soll - sie liegt auf den DCs.
-die Policy, falls über die Default Domain Policy angewendet, greift sowohl für lokale als auch für Domänenkonten
-die Policy, falls über die Default Domain Controllers Policy angewendet (also nur auf den DCs), greift nur für Domänenkonten
-der Leitspruch "bis 2003 gilt: eine Kennwortpolicy pro Domäne" ist ungenau, er müsste lauten "bis 2003 gilt: eine Kennwortpolicy pro Domäne bezogen auf die Domänenkonten", denn für lokale Konten kann man beliebig viele Policies definieren.

Dennoch kannst Du für den Admin [exklusiv] festlegen (falls es das ist, was Du Dir erhoffst), dass sein Kennwort nie abläuft. Ganz einfach über die Eigenschaften des Benutzerobjektes.
Bitte warten ..
Mitglied: cyberjunkie
18.11.2009 um 12:54 Uhr
Zitat von DerWoWusste:
Dennoch kannst Du für den Admin [exklusiv] festlegen (falls es
das ist, was Du Dir erhoffst), dass sein Kennwort nie abläuft.
Ganz einfach über die Eigenschaften des Benutzerobjektes.

Du meinst einfach dieses Häkchen setzen das ist alles?
http://img5.imageshack.us/img5/3285/bildeh.jpg

Würde das auch bei anderen Usern funtionieren, angenommen der Chef sagt er möchte auch ausgeklammert werden?
Bitte warten ..
Mitglied: DerWoWusste
18.11.2009 um 18:36 Uhr
Ja, das meinte ich und es geht für beliebige Benutzer.
Bitte warten ..
Ähnliche Inhalte
Windows Server
DomainAdmin-Rechte Einschränken
gelöst Frage von deb10er0Windows Server5 Kommentare

Hi wir haben einen Benutzer, welcher DomainAdmin-Rechte besitzt. Er soll nun aber nur das Recht besitzen um Software installieren ...

Windows Netzwerk
Kennwortrichtlinie GPO
gelöst Frage von ahstaxWindows Netzwerk10 Kommentare

Hallo, ich würde gerne via GPO eine strengere Kennwortrichtlinie für die Benutzer realisieren. Ich habe bsp hier gelesen, dass ...

Windows Netzwerk
SBS 2011 Kennwortrichtlinien und Benutzerprofil
Frage von MarkowitschWindows Netzwerk6 Kommentare

Hallo Zusammen ! Ich habe folgende Umgebung : SBS 2011 und 8 x Windows 7 Clients Pro 32 BIT. ...

Windows Server
GPO: Gesonderte Kennwortrichtlinie für Adminkonten
gelöst Frage von hagenharryWindows Server2 Kommentare

Hallo miteinander, bei uns wurde kürzlich ein Audit durchgeführt, aus dem u.a. die Anforderung kam, dass unsere Domänen-Adminacounts eine ...

Neue Wissensbeiträge
Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 10 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 17 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 19 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 22 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1018 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...