Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Server 2003 Passwortrichtlinien individuell festlegen?

Frage Microsoft Windows Server

Mitglied: SirLonestar

SirLonestar (Level 1) - Jetzt verbinden

11.01.2011 um 12:11 Uhr, 4548 Aufrufe, 8 Kommentare

Passwortrichtlinien für USer oder Gruppe festlegen.

Ist es unter Windows 2003 möglich, die Richtlinien für das Passwort für jeden User oder Grupen individuell festzulegen?
Wenn ja wie?
Mitglied: Yusuf-Dikmenoglu
11.01.2011 um 12:23 Uhr
Servus,

Kennwortrichtlinien die für Domänen-Benutzer gelten sollen, müssen auf Domänen-Ebene, idealerweise in der Default Domain Policy verlinkt werden.
Denn wenn du eine Kennwort-Richtlinie auf einer OU verlinkst, betrifft das lediglich die LOKALEN Benutzerkonten auf den Clients.
Diese Kennwortrichtlinie gilt dann aber für ALLE Domänen-Benutzer in der Domäne. Mit Bordmittel hast du unter Windows Server 2003 keine Möglichkeit,
mehrere Kennwortrichtlinien zu erstellen. Ausser du erstellst mehrere Domänen, denn jede Domäne hat dann seine eigene Kennwortrichtlinie.

Mit Bordmittel funktioniert das erst ab Windows Server 2008 und nennt sich dort "Password Settings Objects" kurz PSO.

[LDAP://Yusufs.Directory.Blog/ - Password Setting Objects erstellen und verwalten]
http://blog.dikmenoglu.de/Password+Setting+Objects+Erstellen+Und+Verwal ...


Wenn du unter Windows Server 2003 mit mehreren Kennwortrichtlinien arbeiten möchtest, musst du auf Dritt-Anbieter ausweichen.
Z.B.:

http://www.grurili.de/index.html?/Software/6.Specops_Password_Policy.ht ...


Viele Grüße

Yusuf Dikmenoglu
Bitte warten ..
Mitglied: SirLonestar
11.01.2011 um 13:06 Uhr
Danke für die Info, ich werde es mir mal ansehen.
Bitte warten ..
Mitglied: DerWoWusste
12.01.2011 um 00:24 Uhr
Hallo.
Anzumerken noch zu Yusufs
Kennwortrichtlinien die für Domänen-Benutzer gelten sollen, müssen auf Domänen-Ebene, idealerweise in der Default Domain Policy verlinkt werden
Das ist Ermessenssache. Man kann genauso ideal finden, eher die Default Domain Controllers Policy dafür zu nutzen oder sogar beide.
Nehme ich nur die DDCP, schütze ich Domänmenkonten, habe aber als User die Freiheit, für ("eigene") lokale Konten keine Auflagen befolgen zu müssen, was Entwicklern manchmal mehr als Recht ist.
Nehme ich beide, kann ich die lokalen Konten mit der DDP beherrschen und schwächere Auflagen für diese machen, während auf den DCs, und somit für alle Domänenkonten gültig, die DDCP zieht, sie hat Vorrang.

PS: Wer's nicht glaubt, muss es wohl oder übel ausprobieren.
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
12.01.2011 um 10:38 Uhr
Moin,

Man kann genauso ideal finden, eher die Default Domain Controllers Policy dafür zu nutzen oder sogar beide.

moment mal... langsam... Die Kennwortrichtlinie wird von Computer- und *nicht* von Benutzerkonten umgesetzt.
Und zwar:

Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien

und

Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrungsrichtlinien

Wenn man jetzt die Kennwortrichtlinie in der DDCP konfiguriert und diese wie es sein sollte, nur auf die OU "Domain Controllers" verlinkt ist,
wirkt sie eben nicht auf die Computerkonten der Clients.

Ein weiterer Grund warum die Kennwortrichtline in der DDP konfigurieren sollte ist,
man kann die Einstellungen für die Kennwortrichtlinie in einer GPO vornehmen *und* direkt in den Attributen (maxPwdAge, minPwdAge, minPwdLength, pwdHistoryLength, pwdProperties...) auf dem PDC-Emulator.
Gerade wenn es mehrere Administratoren gibt, könnte einer auf die Idee kommen, die Einstellungen direkt in den Attributen vorzunehmen.
Durch einen automatischen Prozess werden dann die Werte in die Kennwortrichtlinie, aber NUR in die DDP synchronisiert.
Damit es an dieser Stelle eben nicht zu Verwirrungen kommt, sollte die Kennwortrichtlinie in der DDP konfiguriert werden.


Gruß, Yusuf Dikmenoglu
Bitte warten ..
Mitglied: DerWoWusste
12.01.2011 um 12:30 Uhr
Moin Yusuf!
Wenn man jetzt die Kennwortrichtlinie in der DDCP konfiguriert und diese wie es sein sollte, nur auf die OU "Domain Controllers" verlinkt ist, wirkt sie eben nicht auf die Computerkonten der Clients.
Richtig, natürlich nicht. Wenn es um Domänenkonten geht, braucht sie das ja auch gar nicht zu tun.
Du verstehst nicht ganz richtig, welchen Nachteil ich an der nur-die-DDP-benutzen-Doktrin herausstelle: Man verliert die Möglichkeit, für lokale Konten eine andere Policy zu benutzen (bzw. keine Restriktionen zu setzen).
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
12.01.2011 um 19:54 Uhr
Bonjour,

Du verstehst nicht ganz richtig, welchen Nachteil ich an der nur-die-DDP-benutzen-Doktrin herausstelle

doch, ich halte die DDP "per se" für jede Umgebung geeignet.
Denn in den Umgebungen die du ansprichst und die mit Sicherheit eher die Ausnahme sind, kann man dann zusätzlich eine extra OU erstellen,
die entsprechenden Clients in die neue OU verschieben und die GPO-Vererbung deaktivieren. Damit hast du dann an den entsprechenden Clients ebenfalls keine Restriktion.


Gruß, Yusuf
Bitte warten ..
Mitglied: gmeurb
07.02.2011 um 11:20 Uhr
Hallo Leute,

mal ne andere Frage zum Thema.

Wenn ich die Passwortrichtlinie von 7 auf 8 Charakters hochsetze, ab wann greift das denn?

Erst nachdem das aktuelle Passwort abgelaufen ist oder gleich bei der ersten Anmeldung?

Mir geht es da z.B. um Serviceaccounts, bei denen ich verhindern möchte, dass die nach dem hochsetzen auf 8 Zeichen nicht mehr funzen, aber natürlich auch um die Anwender, die idealerweise erst bei der nächsten Turnusmäßigen Passwortänderung damit konfrontiert werden sollen, sonst steigen die mir ins Hirn!

Danke und Gruß
Eric
Bitte warten ..
Mitglied: DerWoWusste
07.02.2011 um 11:36 Uhr
Das greift erst bei der nächsten Änderung/Ablauf.
Edit: Wg. Serviceaccounts und Kennwortablauf - denk mal drüber nach, das lokale Systemkonto zu verwenden. Bei Domänenzugehörigkeit kann dies auch im Netzwerk handeln. Das Kennwort des Systemkontos wird automatisch geändert und Du hast eine Sorge weniger.
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Windows Server 2003 DNS Server - Ping auf Subdomain nicht möglich in windows 7 (15)

Frage von aif-get zum Thema Windows Server ...

Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (13)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (11)

Frage von Herbrich19 zum Thema Exchange Server ...

Neue Wissensbeiträge
Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(2)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Heiß diskutierte Inhalte
Exchange Server
Exchange 2016 Standard Server 2012 R2 Hetzner Mail (36)

Frage von Datsspeed zum Thema Exchange Server ...

Windows 7
gelöst Lokales Adminprofil defekt (25)

Frage von Yannosch zum Thema Windows 7 ...

Verschlüsselung & Zertifikate
Mit Veracrypt eine zweite interne (non-system) Festplatte verschlüsseln (11)

Frage von Bernulf zum Thema Verschlüsselung & Zertifikate ...

Internet Domänen
Nameserver ein Geist? (9)

Frage von zelamedia zum Thema Internet Domänen ...