Jump to content

Mehrere Passwortrichtlinien pro AD // Konzept


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Guten Morgen,

 

ich grübel gerade über ein Projekt nach, bzw versuche die technische Machbarkeit einer Lösung zu verifizieren.

 

Es geht einmal darum das Benutzer innerhalb eines ADs mehrer Sicherheitslevel zugewiesen werden sollen. Sprich user aus dem B2B und B2C geschäft finden sich in einem AD und haben zugriff auf sensitive Daten bzw. im b2c-geschäft auf eher weniger wichtige und schützenswerte Daten. Dementsprechen kann ich einem B2C user nicht auferlegen das er sein passwort alle 90 Tage wechseln soll und er auf seine Kennworthistory und Komplexität achten muss. Bei unternehmenskritischen anwendungen ist das aber erforderlich um die Postit-Am-Monitor-Kleb-Speicherung von Passwörtern beim Partner zu verhindern.

 

Ich habe im Hinterkopf das die Passwortrichtlinie nur pro Domain festgelegt werden kann, konnte das nur nicht sinnvoll verifizieren, da ich in einer Doku gelesen hab diese richtlinie technisch als GPO behandelt wird. Ich kan ndazu wirklich nicht viel sagen, bin anwendungsentwickler und hab mein AD-Basiswissen und etwas entwicklungswissen in dem Bereich. Gibt es da irgendwie ne Lösung? ich möcht jetzt hier keine fertigen lösungsvorschläge haben, aber eventuell den ein oder anderen Tipp, Hinweis oder Weblink wäre toll. den ich stoche rmomentan etwas ziellos durch die gegend, wälze Bücher und Blogs find aber nicht wirklich was ergiebiges.

Link to post

Das hast Du richtig im Kopf, Passwortrichtlinien für Domänenkonten können nur auf Domänenebene festgelegt werden. Legst Du sie auf OU-Ebene fest, gelten sie nur für Konten der lokalen Maschinen, die sich in der OU befinden.

Ich habe mal irgendwo von einer externen Software gelesen, die diese Beschränkung aufhebt, finde das aber leider nicht wieder. Mit Bordmitteln jedenfalls funktioniert es nicht ...

Link to post

ah fein, danke! okay ich hab nie nach passwortfilter gesucht, und auf die idee den filter zu ersetzen bin ich nicht gekommen. vielen dank, mal da gleich durchklingeln.

 

mmmh muss ich den filter auch auf jedem dc der domänen setzen die mit dem zu sichernden ad vertrusted sind? oder reicht es auf den dcs aus, die für die domäne zuständig sind?

 

hier nochmal fürs archiv:

Password Policy / Password Filter for stronger Windows Passwords

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...