6
PSO wirkt bei einigen Usern nicht
Guten Tag,
ich bin gerade dabei Abteilung für Abteilung eine neue Kennwortrichtlinie durchzusetzen da die in der DDP zu "lasch" sind und ich keinen mega Support bei einer Riesenumstellung leisten möchte.
Kurz zur Umgebung: 2 DC's, auf DC1 die PSO erstellt (müssen die auf beide DC's?!). Auf beiden Server 2008R2.
Clients: WinXP Pro / Win7 Pro.
Domänenfunktionsebene: 2008R2
Vorgehensweise: PSO unter ADSI-Editor erstellt mit den entsprechenden Einstellungen. Danach gehe ich unter dem Attribut "msDSPSOAppliesTo" in Windows Konto hinzufügen und füge die Abteilungen in Form von Gruppen hinzu.
Dezeit sind gerade mal 6 Gruppen eingefügt, bei allen bis auf einer Gruppe funktioniert das auch. Ich habe mich nun schlau gemacht wie ich herausfinden kann, ob eine PSO auf einen User wirkt. Das mache ich wie folgt:
Powershell: dsget user "dn" -effectivepso
Bei den Leuten wo es läuft, listet er mir dann auch die PSO bzw. den dn auf. Bei den Leuten wo es nicht geht, sagt er nur das der Befehl erfolgreich ausgeführt wurde...
Habt Ihr ähnliches Problem schon mal gehabt bzw. mache ich was falsch?!
Vielen Dank für Eure Anregungen.
Norman
Nachtrag: Eine PSO erstellt man wahrscheinlich nur auf dem Schema-Master und das kann nur einer sein...
ich bin gerade dabei Abteilung für Abteilung eine neue Kennwortrichtlinie durchzusetzen da die in der DDP zu "lasch" sind und ich keinen mega Support bei einer Riesenumstellung leisten möchte.
Kurz zur Umgebung: 2 DC's, auf DC1 die PSO erstellt (müssen die auf beide DC's?!). Auf beiden Server 2008R2.
Clients: WinXP Pro / Win7 Pro.
Domänenfunktionsebene: 2008R2
Vorgehensweise: PSO unter ADSI-Editor erstellt mit den entsprechenden Einstellungen. Danach gehe ich unter dem Attribut "msDSPSOAppliesTo" in Windows Konto hinzufügen und füge die Abteilungen in Form von Gruppen hinzu.
Dezeit sind gerade mal 6 Gruppen eingefügt, bei allen bis auf einer Gruppe funktioniert das auch. Ich habe mich nun schlau gemacht wie ich herausfinden kann, ob eine PSO auf einen User wirkt. Das mache ich wie folgt:
Powershell: dsget user "dn" -effectivepso
Bei den Leuten wo es läuft, listet er mir dann auch die PSO bzw. den dn auf. Bei den Leuten wo es nicht geht, sagt er nur das der Befehl erfolgreich ausgeführt wurde...
Habt Ihr ähnliches Problem schon mal gehabt bzw. mache ich was falsch?!
Vielen Dank für Eure Anregungen.
Norman
Nachtrag: Eine PSO erstellt man wahrscheinlich nur auf dem Schema-Master und das kann nur einer sein...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201450
Url: https://administrator.de/contentid/201450
Printed on: April 23, 2024 at 08:04 o'clock
6 Comments
Latest comment
Moin.
Ich schätze mal, ich weiß, was das ist: Hast Du die Gruppentypen verglichen? Es müssen Gruppen vom Typ "Security Group - Global" sein, damit geht es zumindest bei mir, während distribution groups nicht gehen.
Ich schätze mal, ich weiß, was das ist: Hast Du die Gruppentypen verglichen? Es müssen Gruppen vom Typ "Security Group - Global" sein, damit geht es zumindest bei mir, während distribution groups nicht gehen.
verdammt... in der Tat. Jetzt fällt es mir ein ich kann gerade nicht 100 % was mit den englischen Namen was anfangen aber die eine gruppe ist domänenlokale sicherheitsgruppe während die anderen global sind...
Ohe je. Danke für den Tipp.
Gruß
Norman
Ohe je. Danke für den Tipp.
Gruß
Norman
Kurze Rückmeldung.
Auch die Powershell sagt gibt nun positive Rückmeldung.
Vielen Dank!
Auch die Powershell sagt gibt nun positive Rückmeldung.
Vielen Dank!
Eine Frage noch: Du sprachst von laschen Richtlinien. Die PSOs sind ja nicht anders, es lassen sich nur verschiedene erstellen. Oder war das allein Sinn der Sache?
Hallo DerWoWusste,
deine Frage möchte ich nicht unbeantwortet stehen lassen: Es ging mir hierbei um eine "nach und nach" Einführung einer neuen Kennwortrichtlinie. In der DDP sollte es im Normalfall sein, dass es sofort Jeden betrifft. Das hätte demnach auch geklappt jedoch hätte sich in den Folgetagen ein enormes Supporthoch aufgetan.
Das wollte ich mit dieser Lösung umgehen... Ich hoffe nicht zu umständlich, ich wusste mir nicht besser zu helfen.
deine Frage möchte ich nicht unbeantwortet stehen lassen: Es ging mir hierbei um eine "nach und nach" Einführung einer neuen Kennwortrichtlinie. In der DDP sollte es im Normalfall sein, dass es sofort Jeden betrifft. Das hätte demnach auch geklappt jedoch hätte sich in den Folgetagen ein enormes Supporthoch aufgetan.
Das wollte ich mit dieser Lösung umgehen... Ich hoffe nicht zu umständlich, ich wusste mir nicht besser zu helfen.
Verstehe.
Ich würde Dir und jedem, der sich mit dem Thema Kennwortsicherheit ernsthaft befasst, empfehlen, mal die CT 3/2013 zu nehmen und das Titelthema zu Kennwörtern zumindest quer zu lesen. Fazit: Man braucht eine stärkere Policy, als das was MS bietet, es reicht nicht. Mein Tipp: Anixis PPE.
Ich würde Dir und jedem, der sich mit dem Thema Kennwortsicherheit ernsthaft befasst, empfehlen, mal die CT 3/2013 zu nehmen und das Titelthema zu Kennwörtern zumindest quer zu lesen. Fazit: Man braucht eine stärkere Policy, als das was MS bietet, es reicht nicht. Mein Tipp: Anixis PPE.
