Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Server 2003 Passwortrichtlinien individuell festlegen?

Frage Microsoft Windows Server

Mitglied: SirLonestar

SirLonestar (Level 1) - Jetzt verbinden

11.01.2011 um 12:11 Uhr, 4531 Aufrufe, 8 Kommentare

Passwortrichtlinien für USer oder Gruppe festlegen.

Ist es unter Windows 2003 möglich, die Richtlinien für das Passwort für jeden User oder Grupen individuell festzulegen?
Wenn ja wie?
Mitglied: Yusuf-Dikmenoglu
11.01.2011 um 12:23 Uhr
Servus,

Kennwortrichtlinien die für Domänen-Benutzer gelten sollen, müssen auf Domänen-Ebene, idealerweise in der Default Domain Policy verlinkt werden.
Denn wenn du eine Kennwort-Richtlinie auf einer OU verlinkst, betrifft das lediglich die LOKALEN Benutzerkonten auf den Clients.
Diese Kennwortrichtlinie gilt dann aber für ALLE Domänen-Benutzer in der Domäne. Mit Bordmittel hast du unter Windows Server 2003 keine Möglichkeit,
mehrere Kennwortrichtlinien zu erstellen. Ausser du erstellst mehrere Domänen, denn jede Domäne hat dann seine eigene Kennwortrichtlinie.

Mit Bordmittel funktioniert das erst ab Windows Server 2008 und nennt sich dort "Password Settings Objects" kurz PSO.

[LDAP://Yusufs.Directory.Blog/ - Password Setting Objects erstellen und verwalten]
http://blog.dikmenoglu.de/Password+Setting+Objects+Erstellen+Und+Verwal ...


Wenn du unter Windows Server 2003 mit mehreren Kennwortrichtlinien arbeiten möchtest, musst du auf Dritt-Anbieter ausweichen.
Z.B.:

http://www.grurili.de/index.html?/Software/6.Specops_Password_Policy.ht ...


Viele Grüße

Yusuf Dikmenoglu
Bitte warten ..
Mitglied: SirLonestar
11.01.2011 um 13:06 Uhr
Danke für die Info, ich werde es mir mal ansehen.
Bitte warten ..
Mitglied: DerWoWusste
12.01.2011 um 00:24 Uhr
Hallo.
Anzumerken noch zu Yusufs
Kennwortrichtlinien die für Domänen-Benutzer gelten sollen, müssen auf Domänen-Ebene, idealerweise in der Default Domain Policy verlinkt werden
Das ist Ermessenssache. Man kann genauso ideal finden, eher die Default Domain Controllers Policy dafür zu nutzen oder sogar beide.
Nehme ich nur die DDCP, schütze ich Domänmenkonten, habe aber als User die Freiheit, für ("eigene") lokale Konten keine Auflagen befolgen zu müssen, was Entwicklern manchmal mehr als Recht ist.
Nehme ich beide, kann ich die lokalen Konten mit der DDP beherrschen und schwächere Auflagen für diese machen, während auf den DCs, und somit für alle Domänenkonten gültig, die DDCP zieht, sie hat Vorrang.

PS: Wer's nicht glaubt, muss es wohl oder übel ausprobieren.
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
12.01.2011 um 10:38 Uhr
Moin,

Man kann genauso ideal finden, eher die Default Domain Controllers Policy dafür zu nutzen oder sogar beide.

moment mal... langsam... Die Kennwortrichtlinie wird von Computer- und *nicht* von Benutzerkonten umgesetzt.
Und zwar:

Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien

und

Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrungsrichtlinien

Wenn man jetzt die Kennwortrichtlinie in der DDCP konfiguriert und diese wie es sein sollte, nur auf die OU "Domain Controllers" verlinkt ist,
wirkt sie eben nicht auf die Computerkonten der Clients.

Ein weiterer Grund warum die Kennwortrichtline in der DDP konfigurieren sollte ist,
man kann die Einstellungen für die Kennwortrichtlinie in einer GPO vornehmen *und* direkt in den Attributen (maxPwdAge, minPwdAge, minPwdLength, pwdHistoryLength, pwdProperties...) auf dem PDC-Emulator.
Gerade wenn es mehrere Administratoren gibt, könnte einer auf die Idee kommen, die Einstellungen direkt in den Attributen vorzunehmen.
Durch einen automatischen Prozess werden dann die Werte in die Kennwortrichtlinie, aber NUR in die DDP synchronisiert.
Damit es an dieser Stelle eben nicht zu Verwirrungen kommt, sollte die Kennwortrichtlinie in der DDP konfiguriert werden.


Gruß, Yusuf Dikmenoglu
Bitte warten ..
Mitglied: DerWoWusste
12.01.2011 um 12:30 Uhr
Moin Yusuf!
Wenn man jetzt die Kennwortrichtlinie in der DDCP konfiguriert und diese wie es sein sollte, nur auf die OU "Domain Controllers" verlinkt ist, wirkt sie eben nicht auf die Computerkonten der Clients.
Richtig, natürlich nicht. Wenn es um Domänenkonten geht, braucht sie das ja auch gar nicht zu tun.
Du verstehst nicht ganz richtig, welchen Nachteil ich an der nur-die-DDP-benutzen-Doktrin herausstelle: Man verliert die Möglichkeit, für lokale Konten eine andere Policy zu benutzen (bzw. keine Restriktionen zu setzen).
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
12.01.2011 um 19:54 Uhr
Bonjour,

Du verstehst nicht ganz richtig, welchen Nachteil ich an der nur-die-DDP-benutzen-Doktrin herausstelle

doch, ich halte die DDP "per se" für jede Umgebung geeignet.
Denn in den Umgebungen die du ansprichst und die mit Sicherheit eher die Ausnahme sind, kann man dann zusätzlich eine extra OU erstellen,
die entsprechenden Clients in die neue OU verschieben und die GPO-Vererbung deaktivieren. Damit hast du dann an den entsprechenden Clients ebenfalls keine Restriktion.


Gruß, Yusuf
Bitte warten ..
Mitglied: gmeurb
07.02.2011 um 11:20 Uhr
Hallo Leute,

mal ne andere Frage zum Thema.

Wenn ich die Passwortrichtlinie von 7 auf 8 Charakters hochsetze, ab wann greift das denn?

Erst nachdem das aktuelle Passwort abgelaufen ist oder gleich bei der ersten Anmeldung?

Mir geht es da z.B. um Serviceaccounts, bei denen ich verhindern möchte, dass die nach dem hochsetzen auf 8 Zeichen nicht mehr funzen, aber natürlich auch um die Anwender, die idealerweise erst bei der nächsten Turnusmäßigen Passwortänderung damit konfrontiert werden sollen, sonst steigen die mir ins Hirn!

Danke und Gruß
Eric
Bitte warten ..
Mitglied: DerWoWusste
07.02.2011 um 11:36 Uhr
Das greift erst bei der nächsten Änderung/Ablauf.
Edit: Wg. Serviceaccounts und Kennwortablauf - denk mal drüber nach, das lokale Systemkonto zu verwenden. Bei Domänenzugehörigkeit kann dies auch im Netzwerk handeln. Das Kennwort des Systemkontos wird automatisch geändert und Du hast eine Sorge weniger.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Server
gelöst Client bei Windows Server 2003 ändern (5)

Frage von Therealcookie zum Thema Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...