Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Bei lokaler Anmeldung die Kontosperrungsschwelle umgehen

Frage Microsoft Windows 7

Mitglied: Sylvia

Sylvia (Level 1) - Jetzt verbinden

25.06.2013, aktualisiert 14:55 Uhr, 2788 Aufrufe, 6 Kommentare

Hallo zusammen,

wie haben einige Laptops die in der Domäne sind. Hier ist die Kontosperrungsschwelle auf 3 Versuche eingestellt und es gibt keine Kontosperrdauer - die Benutzer müssen bei gesperrtem Konto den Admin zum entsperren anrufen.
Solange die Rechner einen Zugang zum Netzwerk haben ist das ja ok - aber wenn die Benutzer sich lokal anmelden und dann nicht mit der Domäne verbunden sind zieht diese Richtlinie auch. Das Entsperren ist dann aber recht dumm auf Entfrnung...

Kann man die Richtlinie nicht so einstellen, dass bei lokaler Anmeldung die Domänenrichtlinie nicht zieht sondern nur eine lokale?
Lokal sind die Einstellungsmöglichkeiten in den Kontosperrungsrichtlinien ausgegraut..

Win2008R2 DC und WIN7 Laptops

Hat jemand eine Idee?

Liebe Grüße
Sylvia
Mitglied: goscho
25.06.2013 um 21:48 Uhr
Hi Sylvia,

wenn ihr eine Policy habt, die bei 3 falschen Anmeldungen den Client sperrt, dann hat sich jemand was dabei gedacht und es besteht ein erhöhtes Sicherheitsbedürfnis.

Wie würde denn jetzt hier die - von dir gewünschte - Ausnahme für mobile Clients hineinpassen?
Genau, gar nicht!

Das ginge AFAIK auch nur, wenn ihr die Clients aus der Domäne nehmen und lokale Richtlinien konfigurieren würdet.
Bitte warten ..
Mitglied: DerWoWusste
25.06.2013 um 23:57 Uhr
Na...

Das sind ja Geschichten... Münchhausen fliegt mal wieder. Man kann ohne Konnektivität kein Domänenkonto sperren. Wie auch, die Kontoverwaltung ist auf dem DC, die Kennwortrichtlinie ebenso... und eben zu dem hast Du keine Konnektivität.

Probier es bitte selbst aus, dann wirst Du es sehen.
Bitte warten ..
Mitglied: Sylvia
27.06.2013, aktualisiert um 07:32 Uhr
@ DerWoWusste - wenn es nicht ginge würde ich nicht Fragen. Ich frage ja nur weil genau dieses Poblem besteht. Wieso sollte das auch nicht gehen? Ein mal Konnektivität und Rechner in der Domäne und die Richtlinien sind da und bleiben da bis sie wieder eine Änderung bekommen und der Rechner mitglied in der Domäne ist. Eine Änderung geht erst wenn sie wieder am DC angeschlossen sind - oder aus der Domäne genommen werden. Also gelten so lange die letzten Richtlinien bis sie neue bezogen haben.

@ goscho - natürlich haben wir uns was dabei gedacht und das ist zu 99,99 % auch richtig so. Aber bei ein paar Laptops wird das eben zum Problem wenn die irgend wo in der Pampa stehen und sich nicht am PC (nicht an der Domäne) anmelden können...und genau für die brauche ich eine vernünftige Lösung.

Die Alternative die Rechner aus der Domäne zu nehmen ist leider auch nicht besser.

Ich meine es gibt die Möglichkeit unterschiedliche Kontorichtinien auch auf Domänenebene zu setzen (Filter oder sowas?), leider habe ich da noch nicht wirklich was gefunden was mit weiterhilft...

Praktisch wäre es wenn man einstellen könnte, dass die lokalen Richtinien dann ziehen wenn sie nicht mit dem DC verbunden sind. Da habe ich aber leider nichts praktikables zu gefunden.

Noch jemand eine Idee?
Oder einen Alternativvorschlag?

Liebe Grüße
Sylvia
Bitte warten ..
Mitglied: Chrisre
27.06.2013 um 15:25 Uhr
Hallo,

wie wärs mit einem VPN oder einer eigenen OU mit entsprechend angepassten GPOs?

Gruß,
Chris
Bitte warten ..
Mitglied: Sylvia
27.06.2013 um 16:24 Uhr
Hallo Chrisre,
VPN haben sie wenn sie irgend wo einen Internetzugang haben.
Das mit der eigenen OU war auch schon mein Gedanke aber Kennwortrichtlinien ziehen nur auf Domänenebene. Ich schau gerade ob ich das über abgestimmte Kennwort und Kontosperrungsrichtlinien hinbekomme aber ich bin nicht so fit in GPO.

Viellecht klappts ja

Danke!

Liebe Grüße
Sylvia
Bitte warten ..
Mitglied: DerWoWusste
28.06.2013, aktualisiert um 09:36 Uhr
Hi Sylvia.

wenn es nicht ginge würde ich nicht Fragen
Ich bin der letzte, der kommt und sagt: "hör mal, dieses Problem hast Du doch gar nicht, was regst Du Dich auf". Ich habe Dir lediglich erklärt, was da technisch abläuft und Dich darauf hingewiesen, dass es so, wie wiedergegeben, nicht sein kann.
Ein mal Konnektivität und Rechner in der Domäne und die Richtlinien sind da und bleiben da bis sie wieder eine Änderung bekommen und der Rechner mitglied in der Domäne
Vollkommen richtig - nur hat das mit dem beschriebenen Problem rein gar nichts zu tun. Die Kontosperrungsrichtlinie auf dem DC zählt. Die auf dem Client wirkt nur und einzig und allein auf lokale Konten.

Und ja, ich habe das alles auch gegengetestet, in 2 Domänen sogar.
Damit Dir klar wird, dass es nicht so läuft, wie Du es Dir vorstellst und dass es ein anderes Problem sein MUSS, folgender Gedanke: Nehmen wir an, Du hättest Recht. Dann könnte ich mich in der Zeit, wo das Konto auf PC A gesperrt ist, doch einfach auf PC B anmelden... das wäre schon einmal nicht Sinn der Sache einer Kontensperrung... diese gilt doch domänenweit.

Dann überlege Dir bitte, wie eine Entsperrung funktioniert. Diese wird am DC vorgenommen und im Moment der Entsperrung kommuniziert der DC nicht mit den Clients, was Du nachweisen kannst (und was auch vollkommen logisch ist, man denke an Tausende von Clients). Lediglich bei jeder Anmeldung findet diese Kommunikation statt. Der DC sagt also nicht zu den Clients: "Hey, entsperrt mal Nutzer X".

Ich hoffe, nun ist es Dir klar geworden und Du siehst ein, dass Du ein anderes Problem hast. Beschreibe es bitte genauer, dann können wir es gemeinsam mit Sicherheit lösen.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Microsoft
Keine Anmeldung mehr möglich (Server 2012 R2) (4)

Frage von Shnuuu zum Thema Microsoft ...

Windows 10
Anmeldung bei Notebook funktionietr nur nach ca 30 min (2)

Frage von GrauerStar zum Thema Windows 10 ...

Windows Netzwerk
Ktpass für Anmeldung von LAMP an Win-Domäne (Verständnisfrage)

Frage von pablovic zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...