Dickens 10 Geschrieben 19. September 2007 Melden Teilen Geschrieben 19. September 2007 Hallo,:) also das die Kennwortrichtlinien in der Default Domain Policy pro Domäne definiert werden ist klar, und das Kennwortrichtlinien auf OU Ebene diese Einstellungen nicht überschreiben ist auch bekannt. Jetzt habe ich aber bei MS folgendes gelesen:KapitelÂ*2: Richtlinien auf Domänenebene Die einzige Ausnahme zu dieser Regel ist die Definition einer anderen Kontorichtlinie für eine Organisationseinheit. Die Kontorichtlinieneinstellungen für die Organisationseinheit wirken sich auf die lokale Richtlinie auf jedem in der Organisationseinheit enthaltenen Computer aus. Wenn z. B. die Richtlinie für eine Organisationseinheit ein maximales Kennwortalter definiert, das von der Kontorichtlinie auf Domänenebene abweicht, wird die Richtlinie für die Organisationseinheit nur bei Benutzeranmeldung am lokalen Computer angewendet und erzwungen. Die Standardrichtlinien für lokale Computer gelten nur für in einer Arbeitsgruppe oder Domäne vorhandene Computer, auf die weder eine Kontorichtlinie für eine Organisationseinheit noch eine Domänenrichtlinie angewendet wird. Wie ist das denn zu verstehen? Wenn ich mich am lokalen PC anmelde, also ohne Domäne, dann können doch keine Richtlinien aus dieser greifen.:suspect: oder wie? Danke fürs Lesen;) Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 19. September 2007 Melden Teilen Geschrieben 19. September 2007 'Lokal Anmelden' heißt mit einem lokalen Useraccount. Dabei gilt dann bei Domänenzugehörichkeit die Richtlinie auf OU-Ebene. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. September 2007 Melden Teilen Geschrieben 19. September 2007 Das natürlich nicht ... Das bedeutet, dass diese eingestellte Kennwortrichtlinie auch für Konten gilt, die in der lokalen SAM des Rechners angelegt werden, der sich in Reichweite der Richtlinie befindet. Wird die Richtlinie für Domänenkonten auf Domänenebene angewendet, gilt sie für Domänenkonten, aber auch für alle Konten in den SAm-datenbanken der Domänenrechner (sie befinden sich ebenfalls in Reichweite dieser Richtlinie). Wendet man jetzt auf OU-Ebene eine andere Kennwortrichtlinie mit anderen Werten an, wird wie bei jeder anderen Richtlinie auch, die näher am Objekt sitzende Richtlinie angewendet (die an der OU sitzende Kennwortrichtlinie hat also eine höhere Priorität als die Domänenrichtlinie, wegen der Reihenfolge der Auswertung Lokale Richtlinie - Standortrichtlinie - Domänenrichtlinie - OU-Richtlinie). Diese an der OU sitzende Richtlinie gilt nicht für Domänenkonten, weil Kennwortrichtlinien sich auf Domänenebene befinden müssen, wohl aber für Computerkonten, die sich in der OU oder darunter befinden (es wird eine Einstellung in der Computerkonfiguration vorgenommen und diese Computer dort haben auch eine Benutzerdatenbank) ... Zitieren Link zu diesem Kommentar
Dickens 10 Geschrieben 19. September 2007 Autor Melden Teilen Geschrieben 19. September 2007 Das heisst also, es muss tatsächlich ein Useraccount auf dem Rechner existieren oder reicht es, wenn man bei der Anmeldemaske nicht unten die Domäne auswählt, sondern den lokalen Computer? Muss diese abweichende Richtlinie dann auf OU's angewendet werden in der sich Computer befinden oder muss sie auf eine OU mit User verknüpft werden? Ich werde das auf jeden Fall mal nachstellen. Danke;) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. September 2007 Melden Teilen Geschrieben 19. September 2007 Nein, es muss kein zusätzlicher User auf der lokalen Maschine existieren. Wenn aber ein neuer angelegt wird oder man das bestehende Kennwort eines vordefinierten Benutzers ändert, dann gilt die definierte Kennwortrichtlinie. Und ja, es gilt dann, wenn man in der Anmeldemaske das untere Feld auf den lokalen Computer stellt und sich mit einem dort existierenden Benutzer anmeldet (der lokale Administrator z.B.). Da die Kennworteinstellung in der Computerkonfiguration vorgenommen wird, müssen sich Computer in der OU befinden) ... Zitieren Link zu diesem Kommentar
Dickens 10 Geschrieben 19. September 2007 Autor Melden Teilen Geschrieben 19. September 2007 Ja, natürlich. Ich probiers aus, dann hab ichs live und in Farbe;) Danke:) Irgendwie ein Thema, dass man gar nicht so beachtet.:suspect: Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 19. September 2007 Melden Teilen Geschrieben 19. September 2007 Das heisst also, es muss tatsächlich ein Useraccount auf dem Rechner existieren oder reicht es, wenn man bei der Anmeldemaske nicht unten die Domäne auswählt, sondern den lokalen Computer? Du kannst nur einen Benutzer mit lokalem Account anmelden, wenn Du in der Anmeldemaske auf den lokalen Computer umschaltest. Anmelden an: Domäne -> ein Domänenaccount wird über einen DC beglaubigt Anmelden an: Lokal -> Der Rechner beglaubigt anhand seiner lokalen User-Datenbank (SAM) Zitieren Link zu diesem Kommentar
Dickens 10 Geschrieben 20. September 2007 Autor Melden Teilen Geschrieben 20. September 2007 Morgen:) also, ich habe es nachgestellt und getestet und habe es kapiert;) Wenn auf OU Ebene nichts definiert ist, gilt auch für lokale Konten auf dem Client auch die Standarddomänenrichtlinie. Wenn die Kennwortrichtline auf OU angewendet wird, die Computer enthält, wirkt diese Richtline eben auf die lokalen Konten der dortigen PC's, da diese Richtlinie näher dran ist. Eigentlich ganz einfach:D Danke;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.