Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

Kennwortrichtlinien

Mitglied: edvhen

edvhen (Level 1) - Jetzt verbinden

04.06.2008, aktualisiert 06.06.2008, 6094 Aufrufe, 9 Kommentare

Hallo,
ich bin Admin in einer WindowsServer2003-Domäne. Zur Zeit nutzen wir die Kennwortrichtlinien nicht. D.h., die Benutzer bekommen einmalig ein Kennwort und können dies selbstständig nicht ändern.
Dies soll sich nun ändern. D.h., wir wollen in Zukunft mit den Kontorichtlinien arbeiten. Ein wenig habe ich mich nun eingelesen. Folgende Fragen habe ich aber noch:

1. Was muss ich alles machen um die Kontorichtlinien zu aktivieren? Aussser der Einstellung der Richtlinien unter "Domänensicherheitseinstellungen" muss doch sicherlich noch etwas in der Aktiv-Directory eingestellt werden. Bisher ist bei allen Benutzern unter Konto "kann Kennwort nicht ändern" und "Kennwort läuft nie ab" angehakt. Irgendwo muss ich die neu definierte Richtlinie doch wohl aktivieren oder muss ich bei jedem Benutzer diese Haken manuell entfernen?

2. Ist es möglich einzelne Rechner oder Benutzer aus dieser Richtlinie herauszulassen? Wir haben Clients (W2K,WXP) auf denen ist kein Kennwort erwünscht, da diese PC für jeden zugänglich sein müssen. Sollte dies nicht gehen ist die Kennwortrichtlinie ein KO-Kriterium.

Vielen Dank für die Antworten
Ken
Mitglied: 60730
04.06.2008 um 16:39 Uhr
Servus Ken,

Kennwortrichtlinen sind ein Bestandteil der Domänensicherheit. Die Domain vererbt alles - von daher..

Oder besser ausgedrückt - ich kenne keinen Weg - entweder alle oder keiner muß diese Richtline befolgen.
Bitte warten ..
Mitglied: 60897
04.06.2008 um 17:36 Uhr
Hallo auch,

Doch, doch, es gibt natürlich eine Möglichkeit, das zu trennen, aber das ist so sinnvoll, wie - keine Ahnung, so was blödes fällt mir im Moment nicht ein. Die Aussage "kein Passwort" wäre für mich ein ganz anderes K.O.-Kriterium: Ich würde das Thema Sicherheit komplett ablehnen.

Da das aber nicht meine Sorge ist, hier nur die Info, dass das Unfug ist. Entweder wird sich an Passwörter gewöhnt oder nicht. Alle oder keiner. Sogar Besucher. Muss ja nicht ständig gewechselt werden.

Hier also die Technik:

Erstelle Dir alle möglichen Gruppenrichtlinien, wie Du sie brauchst, mit Kennwort, ohne Kennwort, lange, kurze, schwere Kennwörter, solche, die sich 24x nicht wiedeholen dürfen... das alles stellst Du in den Gruppenrichtlinien ein unter (aus dem Kopf und nur pauschal) Computereinstellungen-Sicherheit-Kennwortrichtlinien.

Wenn Du alle Richtlinien beisammen hast, gibt es mehrere Möglichkeiten, ich würde es so lösen:

Erstelle mindestens zwei OUs, eine für die kennwortgeschützten Rechner, eine für die "freien".
Verschiebe die Rechner in die jeweils zuständige OU.
Verlinke die GPOs auf die entsprechende OU.
Bei "Delegation" müssen dann noch die PCs aus der jeweiligen OU eingetragen werden und schwupps - geht. Macht keinen Sinn, aber geht.

Bonkers
Bitte warten ..
Mitglied: 60730
04.06.2008 um 17:45 Uhr
Moinsen,

Active Directory hat bis einschließlich Windows Server 2003 die Einschränkung, nur eine einzige für die ganze Domäne gültige Passwortrichtlinie definieren zu können
Quelle
Bitte warten ..
Mitglied: 60897
04.06.2008 um 19:23 Uhr
Na da schau her!
Da ich den Sinn dahinter sowieso nicht sehe, bin ich nie in die Verlegenheit gekommen.
Bestätigt sich tätglich, dass man nicht auslernt, Danke!

Bonkers
Bitte warten ..
Mitglied: edvhen
05.06.2008 um 07:49 Uhr
Zur Eklärung zu "kein Passwort": an Rechnern in der Produktion müssen die Mitarbeiter sich an Aufträgen anmelden. Da an diesen PCs immer wieder andere Mitarbeiter arbeiten dürfen dort nicht ständig die Passwörter wechseln. D.h., an diesen PCs/für diese User können natürlich auch Passwörter hinterlegt werden. Aber wenn, dann dürfen diese nicht wechseln. An den Büroarbeitsplätzen dagegen müssen die Passwörter wechseln.
Bitte warten ..
Mitglied: 60730
05.06.2008 um 10:25 Uhr
Servus,

also entweder W2008 und sich dafür (jetzt) evtl. noch andere Features / Bugs holen - oder die "Hand" Methode.

Lege Zwei OUs an - eine für die Produktion - eine für den Rest.

Die Domainsicherheitsrichtline "normal" einrichten - ohne gezwungenen Passwortwechsel.
Nun gehts du Monatlich / wannauchimmer auf die OU der "anderen" markierst alle und mit Properties / Account unter Account Options den Haken bei "User must change Password at next logon"

Nicht schön und auch nicht selten.
Bitte warten ..
Mitglied: 25110
06.06.2008 um 10:59 Uhr
Hallo,

die "Hand"-Methode geht auch anders herum bei 2003-Server

In der DefaultDomainPolicy die Kennwortrichtlinie festlegen
Bei den Produktionsmitarbeitern in den Konten im AD die Haken setzen bei
User cannot change password und Password never expired

Wir haben das bei einigen Konten im Produktionsbereich auch so geregelt
Die Kennwortrichtlinie der DefaultPolicy zieht dann bei diesen Konten nicht


mfg
Bitte warten ..
Mitglied: 60897
06.06.2008 um 14:26 Uhr
Ich will nicht meckern, aber:
Wer DefaultDomainPolicies verfälscht oder verfälschte DefaultDomainsPolicies sich verschafft und in Umlauf bringt wird mit Pfoten ab nicht unter zwei Stück bestraft.

Wenn\'s irgendwie geht bitte eine neue Richtlinie dafür erstellen, weil es im Extremfall sonst nicht mehr ohne weiteres möglich ist, auf einen definierten Standard zurückzusetzen. Bei den Kennwortrichtlinien ist das nicht weiter schlimm, wer sich aber erst mal daran gewöhnt, die DefDomPol zu ändern, macht das in anderen Fällen auch und das kann schief gehen.

Das zweite ist: Wenn in der Richtlinie drinsteht, dass die User ihre Passwörter ändern sollen, gilt das für alle. Eine Gruppenrichtlinie geht der manuellen EInstellung vor, d.h., eigentlich dürfte das nicht funktionieren. Wenn es doch geht, ist irgendwas nicht ganz in Ordnung, zumindest ist das eine Wackelnummer. Der gesetzte Haken muss sich normalerweise der Richtlinie unterordnen. Das Feld müsste ausgegraut und nicht änderbar sein.
Oder übersehe ich jetzt eine Einstellung, die ich schon immer blind mit übernommen habe?

Bonkers
Bitte warten ..
Mitglied: 25110
06.06.2008 um 15:22 Uhr
Keine Sorge, es ist (fast) die originale DDP
Natürlich soll man da nicht drin rumpfuschen, steht ja überall geschrieben.
Aber die Kennwortrichtlinie haben wir da eingestellt, sonst nichts.

Das Zweite: Es funktioniert seit vielen Jahren so bei uns.

mfg
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Kennwortrichtlinie GPO
gelöst Frage von ahstaxWindows Netzwerk10 Kommentare

Hallo, ich würde gerne via GPO eine strengere Kennwortrichtlinie für die Benutzer realisieren. Ich habe bsp hier gelesen, dass ...

Windows Netzwerk
SBS 2011 Kennwortrichtlinien und Benutzerprofil
Frage von MarkowitschWindows Netzwerk6 Kommentare

Hallo Zusammen ! Ich habe folgende Umgebung : SBS 2011 und 8 x Windows 7 Clients Pro 32 BIT. ...

Windows Server
GPO: Gesonderte Kennwortrichtlinie für Adminkonten
gelöst Frage von hagenharryWindows Server2 Kommentare

Hallo miteinander, bei uns wurde kürzlich ein Audit durchgeführt, aus dem u.a. die Anforderung kam, dass unsere Domänen-Adminacounts eine ...

Windows Userverwaltung
Kennwort kann nicht geändert werden weil Kennwortrichtlinie nicht richtig ist
gelöst Frage von MarcysWindows Userverwaltung16 Kommentare

Hallo Zusammen, ich habe ein merkwürdiges Problem. Wir haben eine ganz normale Windows Domäne auf Basis eines Windows 2003 ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit29 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

SAN, NAS, DAS
Hilfe beim Einrichten eines Storages (SAN)
gelöst Frage von Vader666SAN, NAS, DAS15 Kommentare

Hallo Admins! Ich bin in einer kleineren Firma und hatte bisher mit dem Thema SAN nur in meiner Ausbildung ...

Monitoring
VPN Performance Zyxel-Fritte
gelöst Frage von HenereMonitoring13 Kommentare

Servus, nachdem ihr mir ja schon so gut helfen konntet, was das VPN zwischen Zyxel USG60W und Fritte 7490 ...

Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...