Gruppenrichtlinie: EINEN bestimmten Benutzer nicht sperren
Hallo Leute,
ich habe folgendes Problem:
Es existiert eine WinS2003 Domäne, bei der die DefaultDomPolicy aussagt:
Sperre den Benutzer nach 3-maliger Kennwort-Falscheingabe für 30 Minuten.
Jetzt ist ein neues eigenständiges System hinzugekommen, welches zum Arbeiten einen Domänenbenutzer benötigt.
Dieser Benutzer ist aber aus nicht erklärbaren Gründen alle paar Tage mal gesperrt, und wir finden nicht raus, wieso. Wir vermuten, dass irgendjemand damit rumspielt und dann das Kennwort gesperrt wird.
Meine Frage:
Ist es möglich zu konfigurieren, dass genau dieser eine Benutzer nicht gesperrt wird, wenn das KW zu oft falsch eingegeben wird?
Bei DomAdmins ist das ja auch der Fall, aber wir finden keine Möglichkeit, dies auch so für diesen Benutzer festzulegen, ohne ihm DomAdmin Rechte zu geben... denn die Kontosperrichtlinien sind ja eigentlich Computerbezogene Einstellungen ??
Und damit kann man dann den Lockout anders konfigurieren?
Du meinst mit Specops? Ich habe das Programm nicht im Einsatz - aber soweit ich weiß ist das auf Benutzer oder Gruppenbasis (bzw. GPO-Filterung) möglich.
Also das Problem ist, es geht um ein Spezielles System, das für 1,5 Mio€ angeschafft wurde und der Hersteller sagt, dass das mit dem "Sperren" nicht am System liegt sondern an der Domäne.
Folgendes Szenario ist der Fall:
Es gibt eine 2k3-Domäne, darin ist ein spezieller MemberServer.
500 Benutzer greifen auf eine Webseite zu, die dort gehostet wird.
Dann kommt eine Abfrage nach Benutzername und Kennwort.
21 Benutzer haben einen Benutzer, der auf diesem / in diesem System eigens angelegt werden muss, der erhöhte Berechtigungen auf der WebSite hat.
Die Restlichen können über einen Benutzer (benutzer, PW: benutzer) mit niederen Rechten darauf zugreifen. Wollte man jetzt das System "richtig" einrichten, müsste man HIER für jeden DomBenutzer einen identischen User in dem System anlegen und die Accounts "verknüpfen".
Da wahrscheinlich mehrere User sich mal beim PW vertippen, wird der User "benutzer" des öfteren gesperrt.
Also das Problem ist, es geht um ein Spezielles System, das für 1,5 Mio€ angeschafft wurde und der Hersteller sagt, dass das mit dem "Sperren" nicht am System liegt sondern an der Domäne.
Also die Auskunft hätte ich dir auch geben können.
niederen Rechten darauf zugreifen. Wollte man jetzt das System "richtig" einrichten, müsste man HIER für jeden DomBenutzer einen identischen User in dem System anlegen und die Accounts "verknüpfen".
Für 1,5Mio EUR. tolles Programm
Da wahrscheinlich mehrere User sich mal beim PW vertippen, wird der User "benutzer" des öfteren gesperrt.
Also wenn die oben genannten Möglichkeiten das nicht bieten, siehts schlecht aus.
Dieser Benutzer ist aber aus nicht erklärbaren Gründen alle paar Tage mal gesperrt, und wir finden nicht raus, wieso. Wir vermuten, dass irgendjemand damit rumspielt und dann das Kennwort gesperrt wird.
Das Tool Lockoutstatus.exe aus dem Reskit, sowie die Security Eventlogs auf den DCs sollten dir auf der Suche nach dem Warum weiterhelfen
Dein Kommando würde den Benutzeraccount "aktivieren" (enable), jedoch nicht den Account Lockout aufheben.
Es schwirren im Internet jedoch auch einige (VB)Scripts herum, die eine Entsperrung übernehmen. Diese dann jedoch automatisch laufen zu lassen, sollte man sich dann jedoch gut überlegen (wie oben und von Danny schon angesprochen).
Dein Kommando würde den Benutzeraccount "aktivieren" (enable), jedoch nicht den Account Lockout aufheben.
Off-Topic: Das erinnert mich an meinen Dozenten bei der MCSE Schulung, der partout behauptete sperren und deaktivieren wäre das Selbe. Erst meine Aufforderung den Account doch mal mit der rechten Maustaste zu sperren produzierte Fragezeichen bei ihm.
tolles Programm 
