bits 10 Geschrieben 30. Dezember 2006 Melden Teilen Geschrieben 30. Dezember 2006 Hossa Folks, Als ich für die 70-215'ner lernte, hiess es, ich könne für jede OU's zb: test.dom | |__ OU Frankfurt | |__ OU Berlin Für die OU Frankfurt eine Kennwortrichtlinie bei der nach 3 ungültigen Versuchen das Konto gesperrt wird, bis der Admin es wieder freischaltet. Für die OU Berlin eine Kennwortrichtlinie bei der nach 7 ungültigen Versuchen das Konto gesperrt wird, bis der Admin es wieder freischaltet. erstellen.. ???!! :suspect: Dabei hiess es im Kurs, so weit ich mich noch erinnere, man könne Pro Domäne nur 1 GPO mit Kennwortrichtlinien erstellen..??!? :shock: Und, falls man nochmals eine machen möchte (Kennwortrichtlinie) mit anderen Einstellungen müsste man eine neue Domäne erstellen also zb. test.dom || neu.dom ...... :suspect: Freue mich auf eine klare Antwort.. :) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 30. Dezember 2006 Melden Teilen Geschrieben 30. Dezember 2006 Was du für die 215 gelernt hast, wurde dir falsch vermittelt: Egal ob 2000 oder 2003, Man kann Kontorichtlinien nur auf Domänenebene einrichten !! Sehr wohl ist es möglich, Kontorichtlinien in einem GPO einzurichten und an eine OU zu verlinken, die EInstellungen beziehen sich dann aber nur auf lokale Konten auf Computern in der OU grizzly999 Zitieren Link zu diesem Kommentar
patrick210778 10 Geschrieben 30. Dezember 2006 Melden Teilen Geschrieben 30. Dezember 2006 Dabei hiess es im Kurs, so weit ich mich noch erinnere, man könne Pro Domäne nur 1 GPO mit Kennwortrichtlinien erstellen..??!? :shock: Und, falls man nochmals eine machen möchte (Kennwortrichtlinie) mit anderen Einstellungen müsste man eine neue Domäne erstellen also zb. test.dom || neu.dom ...... Ich bin der Meinung das ist Richtig, zumindest das auf einer Domäne im Endeffekt nur eine Kennwortrichtlinie greifen kann und nicht zwei verschiedene gleichzeitig! :suspect: Um mal Konkret zu werden: Kennwortrichtlinien werden auf die Domäne angewendet und greifen somit Domänenweit. Es ist also nicht möglich innerhalb einer Domäne auf zwei unterschiedliche OU´s zwei unterschiedliche Kennwortrichtlinien anzuwenden. z.B. Möchte man innerhalb der Domäne A für die OU1 eine Kennwortlänge von min. 6 Zeichen festlegen und für die OU2 eine Kennwortlänge von min. 7 Zeichen so kann man diesen Wunsch nicht innerhalb einer Domäne A realisieren. Sondern man benötigt eine zweite Domänen B. In Domäne B könnte man nun die OU2 verschieben um das gewünscht Ergebnis zu erzielen, so das auf OU1 und OU2 eine unterschiedliche Kennwortrichtlinie angewendet wird, weil sich die OU´s jetzt in unterschiedlichen Domänen befinden! Ich hoffe habe keinen Unsinn erzählt, aber da bin ich mir relativ sicher. :wink2: Gruß Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 30. Dezember 2006 Autor Melden Teilen Geschrieben 30. Dezember 2006 Also doch nur eine Kennwortrichtlinie pro Domäne.. Also war die Info im Kurs ready. :) Danke für Euer Info.. ;) Zitieren Link zu diesem Kommentar
HellboyX 10 Geschrieben 30. Dezember 2006 Melden Teilen Geschrieben 30. Dezember 2006 Hallo, wie oben erwähnt werden die Kennwortrichtlinien auf die Domäne angewendet ---> domänenweit. Innerhalb einer Domäne auf zwei unterschiedliche OU´s zwei unterschiedliche Kennwortrichtlinien anzuwenden, ist nicht möglich. Also euch allen nen guten Rutsch!!! Greeez Jordi Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 30. Dezember 2006 Melden Teilen Geschrieben 30. Dezember 2006 Es ist möglich, wirkt sich aber nicht auf Domänenkonten, sondern auf lokale Konten aus, wie oben schon erwähnt ... Zitieren Link zu diesem Kommentar
christmazter 10 Geschrieben 30. Dezember 2006 Melden Teilen Geschrieben 30. Dezember 2006 Hi zusammen, Ich glaube es hat etwas mit der Art und Weise der Speicherung von Kennwortrichtlinien zu tun. Pro Kontendatenbank kann nur eine Kennwortrichtlinie bestimmt werden. Da es pro Active Directory-Domäne nur eine einzelne Kontendatenbank gibt, kann für sie auch nur eine Kennwortrichtlinie gespeichert werden. Sollte irgendwer andere Richtlinien für seine Kennwörter haben wollen, muss er sie in einer anderen Kontendatenbank speichern, also in einer neuen Domäne, oder eben lokal, nur kann er sich mit denen dann nicht an dem domainbasierten Konto anmelden. gruß christmazter Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 1. Januar 2007 Autor Melden Teilen Geschrieben 1. Januar 2007 Super Infos... :) Danke.. Zitieren Link zu diesem Kommentar
dark-knight 10 Geschrieben 2. Januar 2007 Melden Teilen Geschrieben 2. Januar 2007 Was du für die 215 gelernt hast, wurde dir falsch vermittelt: Egal ob 2000 oder 2003, Man kann Kontorichtlinien nur auf Domänenebene einrichten !! Sehr wohl ist es möglich, Kontorichtlinien in einem GPO einzurichten und an eine OU zu verlinken, die EInstellungen beziehen sich dann aber nur auf lokale Konten auf Computern in der OU grizzly999 Hallo grizzly999, ich muss bei dir nochmal nachhaken, weil das ein Punkt, den ich auch noch nicht 100% beherrsche. Wenn ich eine Kennwortrichtlinie auf Domänenebene einrichte und parallel ein Kennwort- richtlinie auf OU-Ebene mit Computerkonten, dann sticht ja bekanntlich der Ober den Unter (Domäne die OU). Diese Richtlinie wird aber angewandt, wenn ich mich lokal anmelde -> ist das so richtig verstanden? Falls ja, was ist, wenn ich zusätzlich noch eine lokales Kennwort-GPO einrichte? mfg Dark-Knight Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. Januar 2007 Melden Teilen Geschrieben 2. Januar 2007 Auch wenn ich nicht Grizzly bin (ich hoffe, Du nimmst mir das nicht übel) ... Kennwortrichtlinien werden auf Domänenebene angewendet und werden neben allen Computerkonten, die sich in der Domänen befinden, auch an die Domänencontroller vererbt (deswegen darf man in der Domain Controllers OU die Vererbung nicht deaktivieren). Das ist der Grund, warum es für alle Domänenkonten gültig ist, die ja die Domänencontroller speichern. Diese Kennwortrichtlinie wird aber auch an alle anderen Computer der Domäne vererbt, so dass auf ihnen, also in den lokalen Kontendatenbanken, die gleiche Kennwortrichtlinie gilt. Wendest Du jetzt eine andere Kennwortrichtlinie auf einer OU an, in der sich Computerkonten befinden, überschreibt diese Richtlinie die, die von der Domäne kommt und wirkt sich auf die Objekte in ihrer Reichweite aus. Und das sind dann eben Mitgliedscomputer und eingestellt wird die Kennwortrichtlinie, die sich auf die lokalen Konten dieser Mitgliedscomputer bezieht. Du hättest dann 2 verschiedene Kennwortrichtlinien, eine, die sich auf alle Domänenkonten und auch auf Membercomputer, die sich nicht in der Reichweite der 2. Kennwortrichtlinie befinden, bezieht und eine, die sich auf die Kennwörter der lokalen Konten bezieht, die auf den Membern in dieser OU angelegt werden ... Zitieren Link zu diesem Kommentar
dark-knight 10 Geschrieben 2. Januar 2007 Melden Teilen Geschrieben 2. Januar 2007 Ich bin für jede Hilfe mehr als dankbar. Ich versuche das mal beispielhaft darzustellen: Melde ich mich an Memberserver A mit einem Domänenaccount an der Domäne an, wirkt die Domänenrichtlinie. Melde ich mich mit einem lokalen Benutzerkonto an dem Memberserver A an, wirkt das GPO der OU. Ist das richtig, oder stehe ich immer noch auf dem Schlauch? Ich habe es immer so verstanden, das die Domänenrichtlinie immer wirkt, wenn der Computer in einer Domäne ist und sich ein Domänenkonto anmelden möchte. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. Januar 2007 Melden Teilen Geschrieben 2. Januar 2007 Das ist soweit korrekt (wenn Du mit Domänenrichtlinie die Kennwortrichtlinie meinst, die auf Domänenebene wirkt) ... Einstellungen der Domänenrichtlinie wirken sich nicht unbedingt auf jedes Konto aus (die Kennwortrichtlinie aber schon, da sie ja nur da eingestellt werden darf) ... Zitieren Link zu diesem Kommentar
dark-knight 10 Geschrieben 2. Januar 2007 Melden Teilen Geschrieben 2. Januar 2007 Alles klar. Danke für die Infos. Damit bin ich wieder ein Stück schlauer. mfg Dark-Knight Zitieren Link zu diesem Kommentar
pvlavh 10 Geschrieben 16. Februar 2012 Melden Teilen Geschrieben 16. Februar 2012 Danke für diese Diskussion! Ich hab es auch so ausprobiert in beide Default Domain Controllers Policy Default Domain Policy wie folgt Kontensperrungsschwelle 20 ungültige Anmeldeversuche Kontosperrdauer 0 Minuten Zurücksetzungsdauer des Kontosperrungszählers 9999 Minuten eingetragen und funktioneirt trotzdem nicht :( ich dachte ich hätte es kappiert :(( Oder können diese Einstellungen vielleicht noch irgendwo verhindert werden? Zitieren Link zu diesem Kommentar
mcitp36 10 Geschrieben 16. Februar 2012 Melden Teilen Geschrieben 16. Februar 2012 Moin Kollegen, also zuerst wäre es hilfreich zu wissen auf welcher Funktionsebene die Dom läuft u. welche Serverversion im Einsatz ist. Das ganze vorhaben (diff. Kennworteinstellung) funktioniert erst ab Dom-Funktionsebene 2008 weil dort 2 neue Objektklassen zum Schema hinzugefügt wurden, das sind die: PSC (Password Settings Container) & PSO (Password Settings Objekt) die liegen unter dem Systemcontainer der Domäne. Außerdem kann man PSO´s nicht direkt auf OU´s anwenden sondern eben auf GRUPPEN. Wenn Benutzer in OU´s gegliedert sind, empfiehlt Microsoft Schattengruppen (globale Sicherheitsgruppe) einzurichten und die PSO´s auf diese anzuwenden. Es ist dann sogar möglich nochmals innerhalb dieser Gruppe sogenannte Ausnahme-Kennworteinstellungsobjekte zu definieren. Das ganze geht mit dem ADSI-Editor eigentlich ziemlich simpel von statten. ....pss schau mal im Technet unter Fine-Grained Password hoffe etwas geholfen zu haben Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.