sachellen
Goto Top

Windows Server 2008 R2 - Kennwortrichtlinie nur in der Default Domain Policy ändern? JA-Nein? Bin verwirrt

Guten Morgen liebe Mitglieder,

ich war gerade die Kennwortrichtlinie auf dem DC auf einem 2008er R2 Server am einstellen, wohin ein Kollege (ein alter Admin) dazu kam und völlig hysterisch mich davon abhielt, es in der Default Domain Policy einzustellen.

Online habe ich zB. LINK gefunden, was aber von 2010 ist.

Ich brauche mal bitte von den erfahreneren Kollegen hier eine Meinung dazu face-smile Ja, oder auf keinen Fall? Wie habt Ihr das bei euch eingestellt?

Danke an Alle face-smile

Liebe Grüße
Sachellen

Content-Key: 323237

Url: https://administrator.de/contentid/323237

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: ukulele-7
ukulele-7 08.12.2016 um 10:49:14 Uhr
Goto Top
Die Default Domain Policy bleibt wie sie ist, eine eigene Richtlinie wird erstellt und an die Domäne gehängt. Das ganze trenne ich schon allein aus Dokumentationsgründen.
Mitglied: Sachellen
Sachellen 08.12.2016 aktualisiert um 10:56:52 Uhr
Goto Top
Zitat von @ukulele-7:

Die Default Domain Policy bleibt wie sie ist, eine eigene Richtlinie wird erstellt und an die Domäne gehängt. Das ganze trenne ich schon allein aus Dokumentationsgründen.

Ich habe eine Domäne, unter der habe ich eine neue GPO mit "Kennwortrichtlinie" erstellt, unter dieser Computerkonfig > Richtlinien > Windows-Einst. > Sicherheitseinstellungen > Kontorichtlinie/Kennwortrichtlinie die Richtlinie aktiviert. Dazu habe ich unter der Sicherheitsfilterung Computer statt Benutzer eingetragen.

So ok?
Und dabei gilt diese höher als die Default Domain Policy ?
Mitglied: Kraemer
Kraemer 08.12.2016 um 11:04:15 Uhr
Goto Top
Moin,
Zitat von @Sachellen:
wohin ein Kollege (ein alter Admin)
Erfahrung eben face-wink
Dein Kollege hat Recht! Und er durfte durchaus hysterisch werden! Die DDP ist im WorstCase immer noch ein Rettungsanker (vorausgesetzt man hat sie nicht angefasst)

Gruß Krämer
Mitglied: sabines
sabines 08.12.2016 um 13:00:13 Uhr
Goto Top
Moin,

schau' mal hier nach http://www.gruppenrichtlinien.de/artikel/wiederherstellung-der-default- ...
Hier sind Tipps wie man eine verhunste Default Domain Policy wieder herstellen kann und auch der Rat hier nichts einzustellen.

Ich habe das auch noch auf meiner Todo Liste, wenn es mich mal packt.

Gruss
Mitglied: Sachellen
Sachellen 08.12.2016 um 14:36:39 Uhr
Goto Top
@Kraemer

Da gebe ich Dir Recht. Erfahrung ist unbezahlbar ^^

Kannst Du mir denn sagen, ob mein Vorgehen richtig war? s.O

Danke.
Mitglied: Sachellen
Sachellen 08.12.2016 aktualisiert um 15:28:41 Uhr
Goto Top
Ich habe einen sehr schön erklärten Beitrag gefunden:

www.security-insider.de

Was mir gefehlt hatte war, die neue GPO in der Domäne eins höher als die Default DP zu setzten und die Richtlinie zu erzwingen face-smile
Das ist ganz nett auf den letzten zwei Bildern in der Serie erklärt. Ich teste die gesetzten Optionen gleich mal!
Mitglied: Vision2015
Vision2015 08.12.2016 um 17:24:45 Uhr
Goto Top
nabend...

Zitat von @Sachellen:

Ich habe einen sehr schön erklärten Beitrag gefunden:

www.security-insider.de

Was mir gefehlt hatte war, die neue GPO in der Domäne eins höher als die Default DP zu setzten und die Richtlinie zu erzwingen face-smile
Das ist ganz nett auf den letzten zwei Bildern in der Serie erklärt. Ich teste die gesetzten Optionen gleich mal!

du testest das am lebenden objekt ?
hast du nicht sowas wie eine Testumgebung?
wenn nicht, hoffe ich das dein hysterischer Kollege auf dich aufpasst... face-smile
Frank
Mitglied: Sachellen
Sachellen 08.12.2016 um 18:07:39 Uhr
Goto Top
Zitat von @Vision2015:

nabend...

Zitat von @Sachellen:

Ich habe einen sehr schön erklärten Beitrag gefunden:

www.security-insider.de

Was mir gefehlt hatte war, die neue GPO in der Domäne eins höher als die Default DP zu setzten und die Richtlinie zu erzwingen face-smile
Das ist ganz nett auf den letzten zwei Bildern in der Serie erklärt. Ich teste die gesetzten Optionen gleich mal!

du testest das am lebenden objekt ?
hast du nicht sowas wie eine Testumgebung?
wenn nicht, hoffe ich das dein hysterischer Kollege auf dich aufpasst... face-smile
Frank

^^
Ich teste es mit einem Test Computer und Benutzerkonto face-smile
Mitglied: Pjordorf
Pjordorf 08.12.2016 um 23:46:06 Uhr
Goto Top
Hallo,

Zitat von @Sachellen:
Ich teste es mit einem Test Computer und Benutzerkonto face-smile
Und hast die Hoffnung das die GPO nicht auf dein DC wirksam wird wenn dich ausgesperrt hast?

Gruß,
Peter
Mitglied: Vision2015
Vision2015 09.12.2016 um 07:23:39 Uhr
Goto Top
moin,
gut das die Antwort am Freitag kommt face-smile

Frank
Mitglied: Sachellen
Sachellen 09.12.2016 um 10:46:30 Uhr
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @Sachellen:
Ich teste es mit einem Test Computer und Benutzerkonto face-smile
Und hast die Hoffnung das die GPO nicht auf dein DC wirksam wird wenn dich ausgesperrt hast?

Gruß,
Peter

Ich lese heraus, dass mein Vorgehen falsch ist? Wie wäre es besser? Eine Testumgebung habe ich leider nicht zu Verfügung stehend :/
Mitglied: Vision2015
Vision2015 09.12.2016 um 11:39:56 Uhr
Goto Top
moin...
dann finger wech..
oder..
zusehen das du von freitag auf Samstag ein funktionierendes- getestetes Backup /Image hast...
...um notfalls am sonntag alles wieder auf start zu bringen face-smile

Frank
Mitglied: Sachellen
Sachellen 09.12.2016 um 14:03:45 Uhr
Goto Top
Na alsooo bitte :/ Backups fahre ich schon täglich face-smile)
Ich dachte jetzt, ich bekomme einen Tipp für das erstellen einer Kennwortrichtlinie von Dir face-smile
Mitglied: Pjordorf
Pjordorf 09.12.2016 aktualisiert um 14:11:35 Uhr
Goto Top
Hallo,

Zitat von @Sachellen:
Ich dachte jetzt, ich bekomme einen Tipp für das erstellen einer Kennwortrichtlinie von Dir face-smile
Was willst du noch? Du hast doch schon alles bekommen:
Never touch the Default Domain Policy - never
Mach eigene GPO's
Nutze ein unabhängiges Testsystem bevor man sich aussperrt. PW Änderungen sind Domänenweit, auch an DCs.
Wenn kein Testsystem, mache keinen Fehler der dich veranlasst Ooops zu sagen face-smile
Höre auf Erfahrene Kollegen bevor die einen Herzkasper bekommen face-smile
Dem System ist es Egal ob du eine einzige GPO mit allen Einstellunegn machst oder ob du verschiedene (auch hunderte) GPOs erstellt. Die Verarbeitungszeit wird sich nicht merklich ändern (Millisekunden).

Was willst du noch? Eine Gehaltserhöhung? face-smile

Gruß,
Peter
Mitglied: Sachellen
Sachellen 12.12.2016 um 11:03:19 Uhr
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @Sachellen:
Ich dachte jetzt, ich bekomme einen Tipp für das erstellen einer Kennwortrichtlinie von Dir face-smile
Was willst du noch? Du hast doch schon alles bekommen:
Never touch the Default Domain Policy - never
Mach eigene GPO's
Nutze ein unabhängiges Testsystem bevor man sich aussperrt. PW Änderungen sind Domänenweit, auch an DCs.
Wenn kein Testsystem, mache keinen Fehler der dich veranlasst Ooops zu sagen face-smile
Höre auf Erfahrene Kollegen bevor die einen Herzkasper bekommen face-smile
Dem System ist es Egal ob du eine einzige GPO mit allen Einstellunegn machst oder ob du verschiedene (auch hunderte) GPOs erstellt. Die Verarbeitungszeit wird sich nicht merklich ändern (Millisekunden).

Was willst du noch? Eine Gehaltserhöhung? face-smile

Gruß,
Peter

Wenn du schon so fragst :D
Nein, ich danke Dir für deine Zusammenstellung face-smile)
Mitglied: Pjordorf
Pjordorf 12.12.2016 um 11:12:12 Uhr
Goto Top
Hallo,

Zitat von @Sachellen:
Wenn du schon so fragst :D
Schreib dir einen Scheck über 5 EURO Cent aus. face-smile

Gruß,
Peter
Mitglied: Sachellen
Sachellen 21.12.2016 um 10:38:13 Uhr
Goto Top
Also ich habe jetzt mehrere Seiten gefunden, wo klar empfohlen wird, die Kennwortrichtlinie in der Default DP vorzunehmen!
Insbesondere da eine weitere nicht zieht, wenn dort schon Einstellungen vorhanden sind.

Ich wüsste auch nicht, was daran schlimm ist, diese dort zu ändern, da es meine Wunscheinstellung ist. Wenn etwas schief geht, habe ich immer noch den lokal Admin. Übersehe ich etwas?
Mitglied: ukulele-7
ukulele-7 21.12.2016 um 16:12:05 Uhr
Goto Top
Auf einem DC gibt es keinen lokalen Admin.
Mitglied: Vision2015
Vision2015 21.12.2016 um 16:17:53 Uhr
Goto Top
Zitat von @Sachellen:

Also ich habe jetzt mehrere Seiten gefunden, wo klar empfohlen wird, die Kennwortrichtlinie in der Default DP vorzunehmen!
ja.. wenn es da steht...
Insbesondere da eine weitere nicht zieht, wenn dort schon Einstellungen vorhanden sind.
hast doch nen backup / Image... also mach mal... face-smile

Ich wüsste auch nicht, was daran schlimm ist, diese dort zu ändern, da es meine Wunscheinstellung ist. Wenn etwas schief geht, habe ich immer noch den lokal Admin. Übersehe ich etwas?
oh.. ja... was für einen lokalen admin? den gibbet nicht in ner dom...
also was hast du übersehen ?
richtig... wir alten hasen wissen warum wir sowas sagen face-smile

Frank
Mitglied: Sachellen
Sachellen 30.12.2016 um 11:06:16 Uhr
Goto Top
Ich habe es jetzt Default DP umgestellt und es funkt 1A!
Sry, aber das Thema lasse ich als ungelöst aktiv, da keiner der "alten Hasen" mal eine anständige Info geben konnten, wie ich die Gruppenrichtlinie erstelle und höhe bekomme als die Default DP. Eine neue erstellen, mit der Domäne verknüpfen und aktivieren war nicht die Lösung! Die Default DP greift trotzdem höher.

Trotzdem danke für die Antworten.
Mitglied: 131381
131381 30.12.2016 aktualisiert um 11:18:14 Uhr
Goto Top
Moin .
Es kann nur eine Kennwortrichtlinie in der Domain geben.

Wenn man für unterschiedliche Einheiten unterschiedliche Kennwortrichtlinien haben möchte, muss man dies zwingend mit PSOs (bzw. FGPP) lösen. Das sind KEINE! Richtlinien, sondern nur Objekte, die für ein erstelltes Objekt im AD verwendet werden können. Hier nachzulesen:
Fine Grained Password Policies (FGPP) - Password Settings Objects (PSO)

Ob man die Einstellung in der Default-Domain-Policy anpasst oder dort herausnimmt und die Einstellungen in eine separate GPO verlagert bleibt jedem selbst überlassen. Was zwingend ist das es bei dieser Variante immer nur eine GPO geben darf, die die Kennwortrichtlinien festlegt. Das "hysterische" "bloß nicht ändern" ist ein ganz altes Gerücht das von unerfahrenen Nutzern herrührt dir von der Materie einfach keine Ahnung hatten. Denn jeder Depp kann sich davon eine Kopie auf Lager legen oder aus einer Muster-VM exportieren.

Gruß mik
Mitglied: Kraemer
Kraemer 03.01.2017 um 10:20:52 Uhr
Goto Top
Zitat von @131381:

Moin .
Moin,

Es kann nur eine Kennwortrichtlinie in der Domain geben.
richtig. Es sei der Vollständigkeit halber noch erwähnt, das damit natürlich auch Sub-Domains gemeint sind

Wenn man für unterschiedliche Einheiten unterschiedliche Kennwortrichtlinien haben möchte, muss man dies zwingend mit PSOs (bzw. FGPP) lösen. Das sind KEINE! Richtlinien, sondern nur Objekte, die für ein erstelltes Objekt im AD verwendet werden können. Hier nachzulesen:
Fine Grained Password Policies (FGPP) - Password Settings Objects (PSO)
Da es diese Funktion schon seit Server 2008 gibt, sollte diese alleine schon aufgrund ihrer granularen Möglichkeiten favorisiert werden

Ob man die Einstellung in der Default-Domain-Policy anpasst oder dort herausnimmt und die Einstellungen in eine separate GPO verlagert bleibt jedem selbst überlassen.
Grundsätzlich richtig. Nur gibt zu diesem Thema noch weitere Punkte, die man in seine Überlegungen mit einbeziehen sollte. Dokumentation z.B.

Das "hysterische" "bloß nicht ändern" ist ein ganz altes Gerücht das von unerfahrenen Nutzern herrührt dir von der Materie einfach keine Ahnung hatten.
Naja diese Aussage kann man so nicht stehen lassen. Unstrittig sollte eigentlich sein, dass man die DDP nicht anfassen sollte (dieser vor allem aber nichts hinzufügen soll). Dieser Thread befasst sich nun leider mit einer der wenigen Ausnahmen zu diesem Thema: Es kann durchaus legitim sein, die Kennwortrichtlinien in der DDP zu ändern - vor allem vor dem Hintergrund, dass diese schon in der DDP geregelt sind. Und trotzdem macht es meistens Sinn, das nicht zu tun. Im allgemeinen werden neben den Grundeinstellungen noch weitere Themengleiche Einstellungen gesetzt, die eben nicht Bestandteil der DDP sind. Aufgrund dieses Umstandes drängt sich das Auslagern in eine eigene Richtlinie absolut auf.

Denn jeder Depp kann sich davon eine Kopie auf Lager legen oder aus einer Muster-VM exportieren.
Und diese Aussage ist nun wirklich ganz weit von dem Entfernt, was man als best practices versteht.

Ich persönlich bevorzuge mittlerweile die Verwaltung des "Password Settings Container"s mittels Active Directory-Verwaltungscenters. Einfach, schnell, übersichtlich und granular. Mit den Einstellungen in der DDP bin ich in den meisten Fällen zufrieden und habe daher keinen Grund, diese zu ändern. Ansonsten gehe ich nach dem Grundsatz vor: Ein Thema = Eine Gruppenrichtlinie.

Gruß Krämer
Mitglied: 131381
131381 03.01.2017 aktualisiert um 10:41:38 Uhr
Goto Top
Und diese Aussage ist nun wirklich ganz weit von dem Entfernt, was man als best practices versteht.
?? Best Practices ist nicht immer das Mittel der Wahl. Und was hat Best Practices bitte damit zu tun??
Ich weiß nicht was an der DDP so besonders sein soll, es ist eine Policy wie jede andere auch mit natürlich essentiellen Settings für die gesamte Domain gelten. Natürlich ist Doku Pflicht an der Funktionalität ändert sich aber trotzdem nichts.
Das hat sich einfach so in Foren weiterverbreitet und jeder plappert es den anderen nach.
Eine Richtlinie die für alle Firmen gilt kann es nicht geben, jede Firma ist anders strukturiert und hat andere Anforderungen.