Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Einführen einer Kennwortrichtlinie über die Default Domain Policy oder nicht?

Frage Microsoft Windows Server

Mitglied: Cheops

Cheops (Level 1) - Jetzt verbinden

04.02.2008, aktualisiert 06.02.2008, 16462 Aufrufe, 7 Kommentare

Hallo Admins,

ich darf nun endlich eine Kennwortrichtlinie in unserer 2003 Domäne einführen. Ich sage "darf", weil das ein ziemlicher Kampf war. Man hatte kein Einsehen bis die Wirtschaftsprüfer auch darauf bestanden haben. Nun ja.

Mein 2003er AD besteht aus einem einzelnen Standort mit diversen OUs für die Abteilungen. Die Kennwortrichtlinie soll (zumindest im Moment) für alle gleich sein. Einige Dienstkonten sollten natürlich von der Richtlinie befreit sein.

Meine Überlegung wäre nun:

1. Ich verwende die Default Domain Policy, passe diese entsprechend an und verändere die einzelnen Dienstkonten so, dass die DDP dort nicht greift.

2. Ich lege am Standort eine eigene Policy an und werfe alle Dienstkonten in eine eigene OU und unterbreche dort die Vererbung. Damit wäre ich auch flexibler falls eine Abteilung doch mal andere Kennwortrichtlinen bekommen sollte.

Wie sind eure Erfahrungen? Wie habt ihr das bei euch oder Kunden gelöst?

Ach, noch etwas. Unsere Außendienstler sind über einen VPN Client zu uns verbunden. D.h. sie melden sich erst mit ihrem lokalen Domänenprofil an und öffnen dann erst die VPN Verbindung. Wisst ihr wie es sich dann mit der Kennwortänderung verhält? Das muss ich unbedingt noch testen!

Grüße
Mitglied: rubberduck
04.02.2008 um 15:02 Uhr
Hi Cheops

Das mit anderen Kennwortrichtlinien pro OU wird wahrscheinlich nicht funktionieren.
Ich bin mir ziemlich sicher (lasse mich aber gerne belehren) dass eine Kennwortrichtlinie für die gesamte Domäne gilt. Du kannst die Vererbung unterbrechen, damit wird aber alles unterbrochen. Mehrere Kennwortrichtlinien pro Domäne sind meines Wissens bis und mit Windows 2003 nicht möglich.

Aber unter Windows 2008 soll es auch pro OU Möglich sein.

Gruss
rubberduck
Bitte warten ..
Mitglied: 51705
04.02.2008 um 21:58 Uhr
Hallo Rubberduck,

deine Aussage:

Mehrere
Kennwortrichtlinien pro Domäne sind
meines Wissens bis und mit Windows 2003
nicht möglich.

ist, soweit mir bekannt, falsch. Du kannst für jede OU eine entsprechende Richtlinie definieren. Bei geeigneter Konfiguration der OUs kann auch ein Unterbrechen der Vererbung ausbleiben, was ich für überschaubarer halte.

Grüße, Steffen
Bitte warten ..
Mitglied: geTuemII
04.02.2008 um 21:58 Uhr
Hallo Cheops,

wieso läßt du nicht einfach die DDP in Ruhe (Haken aus Diese Richtlinie definieren raus) und erzeugst eigene Kennwortrichtlinie(n), die du dann dan OU zuordnen kannst?

Zu deiner zweiten Frage: für die Außendienstler mußt du die Richtlinen in den lokalen Policies dere Clients definieren.

BTW: Ich schließe mich voll inhaltlich smerlin an.

geTuemII
Bitte warten ..
Mitglied: rubberduck
05.02.2008 um 00:15 Uhr
Hallo srmerlin und geTuemII

Bitte lasst mich nicht Dumm sterben.

Ich habe hier eine Diskussion über Kennwortrichtlinien gefunden. Bitte lest es durch, wenn Ihr Zeit habt.
Dort wird ziemlich genau meine Ansicht beschrieben, die ich damals so gelernt habe:
Kennwortrichtlinien nur pro Domäne
(Sollte ja sowieso von der GL festgesetzt werden, was Unternehmensweit gelten soll)

Um eines klar zu stellen:
Ich behaupte nicht dass es nicht geht, ich habs nur anders gelernt. Und ich war noch nie in der Situation, dass ich in unterschiedlichen OU's unterschiedliche Kennwortrichtlinien gebraucht hätte.
Ich weiss nur, dass wenn ich in einer OU andere Kennwortrichtlinien setze, diese für lokale und nicht für Domänen Accounts gilt (war ebenfalls nie gefordert).

Oder reden wir vielleicht nicht vom selben?
Interessiert mich schon aus reiner Neugier (bitte mit Quellenangabe/Link) wie das gehen würde.
Bitte warten ..
Mitglied: 51705
05.02.2008 um 09:53 Uhr
Hallo rubberduck,

Ich weiss nur, dass wenn ich in einer OU
andere Kennwortrichtlinien setze, diese für
lokale und nicht für Domänen Accounts gilt

du hast natürlich recht. Ich hab da nicht zuende gedacht.

Danke für die Richtigstellung,
Steffen
Bitte warten ..
Mitglied: geTuemII
05.02.2008 um 15:31 Uhr
@rubberduck und smerlin:
Auch!

@Cheops:
Rubberduck hat natürlich recht, auch wenn du die Kennwortrichtlinie von der DDP trennst, muß sie trotzdem aus Domain-Ebene liegen. Es scheint aber Spezialsoftware zu geben: http://www.gruppenrichtlinien.de/index.html?/HowTo/Kennwortrichtlinien. ... im Bereich Das Wichtigste...

geTuemII
Bitte warten ..
Mitglied: 51705
06.02.2008 um 12:57 Uhr
Kleine Anmerkung:

Die Richtlinie kann auf einer separaten OU, welche die Domain Controller beherbergt liegen. So kannst du andere Richtlinien für lokale Benutzer von 'Nicht' Domain Controllern festlegen.


Oder liege ich auch hier falsch?

Grüße, Steffen
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst GPO Audit Policy nur in Default Domain Policy konfigurierbar? (12)

Frage von tombola22 zum Thema Windows Server ...

Windows Server
gelöst Default Domain Policy Fehlermeldung (3)

Frage von deredvtyp zum Thema Windows Server ...

RedHat, CentOS, Fedora
Fedora, RedHat, Centos: DNS-Search Domain setzen (10)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(10)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Router & Routing

PfSense auf Supermicro Intel Xeon D-15x8 SoC Bare Bone

Tipp von Dobby zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows 10
Windows für Privatanwender "nicht mehr handhabbar" (26)

Frage von FA-jka zum Thema Windows 10 ...

LAN, WAN, Wireless
Brauche Hilfe: Mit (schnellem) WLAN Strecke überbrücken (23)

Frage von pierrehansen zum Thema LAN, WAN, Wireless ...

Basic
Programmierung von Windows Programmen (10)

Frage von Ghost108 zum Thema Basic ...