Alles zum Thema Windows Clients für den Desktop: Windows 95 / 98 / NT / 2000 / XP / Vista / Win 7 — Q & A zu den Windows Client Versionen sowie Windows Media Center / Windows Home Server
hallo zusammen,
wir arbeiten hier mit einer windows 2003 domain und sollen eine passwort policy ( default domain policy ) setzen.
mit der wirkung, das wenn man das passwort 5mal falsch eingegeben hat der account des users gesperrt wird.
wir haben natuerlich auch serveraccounts die niemals einen solchen change abbekommen duerfen .. das heisst .. wenn ein user diesen account-namen kennen wuede .. koennte er ... wenn er gemein ist diesen gleich 5 mal falsch eintippen und wir haetten ein grosses problem.
meine frage ist:
kann man useraccounts aus dieser policy aushebeln ? also mit dem haken ( richtlinien vererbung deaktivieren ) ?
ich habe folgendes vor .. eine OU basteln und da accounts reinstecken die nicht davon betroffen werden sollen .. dann den haken ( richtlinien vererbung deaktivieren ) setzen und hoffen das es klappt.
hat schon jemand erfahrungen damit gemacht ? .. wir haben leider kein testlab und ich kann nur an der domain selbst regeln setzen ..
ich habe folgendes vor .. eine OU basteln und da accounts reinstecken die nicht davon betroffen werden sollen .. dann den haken ( richtlinien vererbung deaktivieren ) setzen und hoffen das es klappt.
Hi,
wie wäre es, wenn du eine OU machst und dort die User reinsteckts die von der Passwort Policy betroffen sein sollen.
Da brauchst du nämlich gar nicht in der Default Domain Policy rumzuhantieren, sondern in der GP der OU.
Hm, hast du deine normalen USER in der selben OU wie die Serveraccounts? Wenn ja, dann schlecht. Dann solltest du deine User in eine seperate OU packen und dort die Policy drauf hängen.
Alternativ kann man das Flag "UserCannotChangePassword" an den betreffenden Accounts setzen, dann können für diese Accounts auch keine Kennworte geändert werden.
Zitat von Threats and Countermeasures Guide von MS
Note: For domain accounts, there can be only one Account policy per domain. The Account policy must be defined in the Default Domain Policy or in a new policy that is linked to the root of the domain and given precedence over the Default Domain Policy, which is enforced by the domain controllers that make up the domain. A domain controller always pulls the Account policy from the root of the domain, even if there is a different Account policy applied to the OU that contains the domain controller. The root of the domain is the top level container of the domain, not to be confused with the root domain in a forest; the root domain in a forest is the top level domain within that forest.
Geändert von Christoph35 (02.01.2006 um 15:33 Uhr).
ich dachte die Richtlinie wirkt sich auf Domänen-Controller, Server bzw Computer und nicht auf einzelne Userkonten aus ?
Das sehe ich auch so, es wird ja im Knoten Computerkonfiguration eingestellt und gilt für Konten der Computer, die sich in Reichweite befinden (im Falle der DCs eben alle Domänenkonten)
also wenn ich recht verstehe ...
ich setze eine default domain policy die natuerlich alle accounts betrifft ... diese werden in den maschinensettings bestimmt .. also .. nach 5 mal falscheingabe des passworts soll folgendes passieren !
ist es den moeglich accounts via OU in ausnamen zu setzen ?? da es sich ja bei den folgenden einstellungen um rechner einstellungen handelt.
das ganze muesste ich auf OU ebene wieder auf personen bezogene logins gesetzt werden .. oder besser ,, nicht jeder account soll davon betroffen sein .. da es sich ja um eine default domain, und nicht um eine OU richtlinie handelt ... ich raffs noch nicht.
Hm, hast du deine normalen USER in der selben OU wie die Serveraccounts? Wenn ja, dann schlecht. Dann solltest du deine User in eine seperate OU packen und dort die Policy drauf hängen.
Alternativ kann man das Flag "UserCannotChangePassword" an den betreffenden Accounts setzen, dann können für diese Accounts auch keine Kennworte geändert werden.
/Edit: zu langsam
hi,
nein, ich habe die serveraccounts nicht in den gleichen OUs wie die useraccounts .. aber ich weiss nicht ob die serveraccounts in die ausnamen gelangen wenn ich eine default domain policy setze ... man kann diese einstellung nur in der default domain policy angeben ..
Richtlinie Sicherheitseinstellung
Kontensperrungsschwelle 0 ungültigen Anmeldeversuchen
Kontosperrdauer Nicht verfügbar
Zurücksetzungsdauer des Kontosperrungszählers Nicht verfügbar
damit sind alle accounts der domain betroffen .. ich habe nur angst, das wenn einer schlimmes machen moechte und er nen account eines serverusers kennt .. er mit falscheingabe einen kompletten server lamlegen kann.
deswegen wollte ich diese accounts ausklammern ... aber ich kanns nicht testen .. da hier keine testumgebung vorhanden ist.
Hi, will euch ja nicht enttäuschen: Aber Passwortrichtlinien ziehen nur in der Default Domain Policy. Versuche auf einer OU scheitern. Ausnahmen kann mit dem Haken "Kennwort läuft nie ab" erreichen. Alles andere funzt nicht oder nur scheinbar.
Sicherheitseinstellungen gelten immer nur Domänen weit, will man eine zweite Paswort-Policy erstellen, benötigt man eine zweite Domäne.
