Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Einführen einer Kennwortrichtlinie über die Default Domain Policy oder nicht?

Frage Microsoft Windows Server

Mitglied: Cheops

Cheops (Level 1) - Jetzt verbinden

04.02.2008, aktualisiert 06.02.2008, 16423 Aufrufe, 7 Kommentare

Hallo Admins,

ich darf nun endlich eine Kennwortrichtlinie in unserer 2003 Domäne einführen. Ich sage "darf", weil das ein ziemlicher Kampf war. Man hatte kein Einsehen bis die Wirtschaftsprüfer auch darauf bestanden haben. Nun ja.

Mein 2003er AD besteht aus einem einzelnen Standort mit diversen OUs für die Abteilungen. Die Kennwortrichtlinie soll (zumindest im Moment) für alle gleich sein. Einige Dienstkonten sollten natürlich von der Richtlinie befreit sein.

Meine Überlegung wäre nun:

1. Ich verwende die Default Domain Policy, passe diese entsprechend an und verändere die einzelnen Dienstkonten so, dass die DDP dort nicht greift.

2. Ich lege am Standort eine eigene Policy an und werfe alle Dienstkonten in eine eigene OU und unterbreche dort die Vererbung. Damit wäre ich auch flexibler falls eine Abteilung doch mal andere Kennwortrichtlinen bekommen sollte.

Wie sind eure Erfahrungen? Wie habt ihr das bei euch oder Kunden gelöst?

Ach, noch etwas. Unsere Außendienstler sind über einen VPN Client zu uns verbunden. D.h. sie melden sich erst mit ihrem lokalen Domänenprofil an und öffnen dann erst die VPN Verbindung. Wisst ihr wie es sich dann mit der Kennwortänderung verhält? Das muss ich unbedingt noch testen!

Grüße
Mitglied: rubberduck
04.02.2008 um 15:02 Uhr
Hi Cheops

Das mit anderen Kennwortrichtlinien pro OU wird wahrscheinlich nicht funktionieren.
Ich bin mir ziemlich sicher (lasse mich aber gerne belehren) dass eine Kennwortrichtlinie für die gesamte Domäne gilt. Du kannst die Vererbung unterbrechen, damit wird aber alles unterbrochen. Mehrere Kennwortrichtlinien pro Domäne sind meines Wissens bis und mit Windows 2003 nicht möglich.

Aber unter Windows 2008 soll es auch pro OU Möglich sein.

Gruss
rubberduck
Bitte warten ..
Mitglied: 51705
04.02.2008 um 21:58 Uhr
Hallo Rubberduck,

deine Aussage:

Mehrere
Kennwortrichtlinien pro Domäne sind
meines Wissens bis und mit Windows 2003
nicht möglich.

ist, soweit mir bekannt, falsch. Du kannst für jede OU eine entsprechende Richtlinie definieren. Bei geeigneter Konfiguration der OUs kann auch ein Unterbrechen der Vererbung ausbleiben, was ich für überschaubarer halte.

Grüße, Steffen
Bitte warten ..
Mitglied: geTuemII
04.02.2008 um 21:58 Uhr
Hallo Cheops,

wieso läßt du nicht einfach die DDP in Ruhe (Haken aus Diese Richtlinie definieren raus) und erzeugst eigene Kennwortrichtlinie(n), die du dann dan OU zuordnen kannst?

Zu deiner zweiten Frage: für die Außendienstler mußt du die Richtlinen in den lokalen Policies dere Clients definieren.

BTW: Ich schließe mich voll inhaltlich smerlin an.

geTuemII
Bitte warten ..
Mitglied: rubberduck
05.02.2008 um 00:15 Uhr
Hallo srmerlin und geTuemII

Bitte lasst mich nicht Dumm sterben.

Ich habe hier eine Diskussion über Kennwortrichtlinien gefunden. Bitte lest es durch, wenn Ihr Zeit habt.
Dort wird ziemlich genau meine Ansicht beschrieben, die ich damals so gelernt habe:
Kennwortrichtlinien nur pro Domäne
(Sollte ja sowieso von der GL festgesetzt werden, was Unternehmensweit gelten soll)

Um eines klar zu stellen:
Ich behaupte nicht dass es nicht geht, ich habs nur anders gelernt. Und ich war noch nie in der Situation, dass ich in unterschiedlichen OU's unterschiedliche Kennwortrichtlinien gebraucht hätte.
Ich weiss nur, dass wenn ich in einer OU andere Kennwortrichtlinien setze, diese für lokale und nicht für Domänen Accounts gilt (war ebenfalls nie gefordert).

Oder reden wir vielleicht nicht vom selben?
Interessiert mich schon aus reiner Neugier (bitte mit Quellenangabe/Link) wie das gehen würde.
Bitte warten ..
Mitglied: 51705
05.02.2008 um 09:53 Uhr
Hallo rubberduck,

Ich weiss nur, dass wenn ich in einer OU
andere Kennwortrichtlinien setze, diese für
lokale und nicht für Domänen Accounts gilt

du hast natürlich recht. Ich hab da nicht zuende gedacht.

Danke für die Richtigstellung,
Steffen
Bitte warten ..
Mitglied: geTuemII
05.02.2008 um 15:31 Uhr
@rubberduck und smerlin:
Auch!

@Cheops:
Rubberduck hat natürlich recht, auch wenn du die Kennwortrichtlinie von der DDP trennst, muß sie trotzdem aus Domain-Ebene liegen. Es scheint aber Spezialsoftware zu geben: http://www.gruppenrichtlinien.de/index.html?/HowTo/Kennwortrichtlinien. ... im Bereich Das Wichtigste...

geTuemII
Bitte warten ..
Mitglied: 51705
06.02.2008 um 12:57 Uhr
Kleine Anmerkung:

Die Richtlinie kann auf einer separaten OU, welche die Domain Controller beherbergt liegen. So kannst du andere Richtlinien für lokale Benutzer von 'Nicht' Domain Controllern festlegen.


Oder liege ich auch hier falsch?

Grüße, Steffen
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
gelöst GPO Audit Policy nur in Default Domain Policy konfigurierbar? (12)

Frage von tombola22 zum Thema Windows Server ...

Windows Server
gelöst Default Domain Policy Fehlermeldung (3)

Frage von deredvtyp zum Thema Windows Server ...

Windows Server
gelöst Active Directory Domain Default User Profile (for Windows 8.1) (4)

Frage von adm2015 zum Thema Windows Server ...

Batch & Shell
gelöst PowerShell Domain Join (2)

Frage von Patrick-IT zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...