Jump to content

Gruppenrichtlinie: EINEN bestimmten Benutzer nicht sperren


Revi
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo Leute,

 

ich habe folgendes Problem:

 

Es existiert eine WinS2003 Domäne, bei der die DefaultDomPolicy aussagt:

Sperre den Benutzer nach 3-maliger Kennwort-Falscheingabe für 30 Minuten.

 

Jetzt ist ein neues eigenständiges System hinzugekommen, welches zum Arbeiten einen Domänenbenutzer benötigt.

Dieser Benutzer ist aber aus nicht erklärbaren Gründen alle paar Tage mal gesperrt, und wir finden nicht raus, wieso. Wir vermuten, dass irgendjemand damit rumspielt und dann das Kennwort gesperrt wird.

 

Meine Frage:

Ist es möglich zu konfigurieren, dass genau dieser eine Benutzer nicht gesperrt wird, wenn das KW zu oft falsch eingegeben wird?

Bei DomAdmins ist das ja auch der Fall, aber wir finden keine Möglichkeit, dies auch so für diesen Benutzer festzulegen, ohne ihm DomAdmin Rechte zu geben... denn die Kontosperrichtlinien sind ja eigentlich Computerbezogene Einstellungen ??

 

Ich hoffe, mir kann jemand helfen *heul*

Link to comment

Hallo Revi,

 

nein, das ist nicht möglich (siehe Aktives Verzeichnis Blog : Schutz vor Account Lockouts auch für andere Konten als "Administrator"?).

Dort findest Du auch ggf. zwei Alternativen (Fine Grained Password Policies unter Windows Server 2008 oder die Domäne als Sicherheitsgrenze).

 

Es gibt es ein paar Hersteller, die unter Windows Server 2003 diese Lücke schließen, so etwa Password Policy / Password Filter for stronger Windows Passwords .

 

Grundsätzlich solltet Ihr vielleicht einfach prüfen, wer den Account Lockout verursacht und seid das Problem dann grundsätzlich los. ;)

 

Viele Grüße

olc

Link to comment
Hallo Revi,

 

nein, das ist nicht möglich (siehe Aktives Verzeichnis Blog : Schutz vor Account Lockouts auch für andere Konten als "Administrator"?).

Dort findest Du auch ggf. zwei Alternativen (Fine Grained Password Policies unter Windows Server 2008 oder die Domäne als Sicherheitsgrenze).

 

Es gibt es ein paar Hersteller, die unter Windows Server 2003 diese Lücke schließen, so etwa Password Policy / Password Filter for stronger Windows Passwords .

 

Und damit kann man dann den Lockout anders konfigurieren?

 

Grundsätzlich solltet Ihr vielleicht einfach prüfen, wer den Account Lockout verursacht und seid das Problem dann grundsätzlich los. ;)

ACK.

 

Bye

Norbert

Link to comment

Also das Problem ist, es geht um ein Spezielles System, das für 1,5 Mio€ angeschafft wurde und der Hersteller sagt, dass das mit dem "Sperren" nicht am System liegt sondern an der Domäne.

 

Folgendes Szenario ist der Fall:

Es gibt eine 2k3-Domäne, darin ist ein spezieller MemberServer.

500 Benutzer greifen auf eine Webseite zu, die dort gehostet wird.

Dann kommt eine Abfrage nach Benutzername und Kennwort.

 

21 Benutzer haben einen Benutzer, der auf diesem / in diesem System eigens angelegt werden muss, der erhöhte Berechtigungen auf der WebSite hat.

Die Restlichen können über einen Benutzer (benutzer, PW: benutzer) mit niederen Rechten darauf zugreifen. Wollte man jetzt das System "richtig" einrichten, müsste man HIER für jeden DomBenutzer einen identischen User in dem System anlegen und die Accounts "verknüpfen".

 

Da wahrscheinlich mehrere User sich mal beim PW vertippen, wird der User "benutzer" des öfteren gesperrt.

 

That's the problem :-(

Link to comment
Also das Problem ist, es geht um ein Spezielles System, das für 1,5 Mio€ angeschafft wurde und der Hersteller sagt, dass das mit dem "Sperren" nicht am System liegt sondern an der Domäne.

 

Also die Auskunft hätte ich dir auch geben können. ;)

 

niederen Rechten darauf zugreifen. Wollte man jetzt das System "richtig" einrichten, müsste man HIER für jeden DomBenutzer einen identischen User in dem System anlegen und die Accounts "verknüpfen".

 

Für 1,5Mio EUR. :) tolles Programm ;)

 

Da wahrscheinlich mehrere User sich mal beim PW vertippen, wird der User "benutzer" des öfteren gesperrt.

 

 

Also wenn die oben genannten Möglichkeiten das nicht bieten, siehts schlecht aus.

 

Bye

Norbert

Link to comment
Dieser Benutzer ist aber aus nicht erklärbaren Gründen alle paar Tage mal gesperrt, und wir finden nicht raus, wieso. Wir vermuten, dass irgendjemand damit rumspielt und dann das Kennwort gesperrt wird.

 

 

 

Das Tool Lockoutstatus.exe aus dem Reskit, sowie die Security Eventlogs auf den DCs sollten dir auf der Suche nach dem Warum weiterhelfen

 

cu

blub

Link to comment

Hi Danny,

 

Dein Kommando würde den Benutzeraccount "aktivieren" (enable), jedoch nicht den Account Lockout aufheben.

 

Es schwirren im Internet jedoch auch einige (VB)Scripts herum, die eine Entsperrung übernehmen. Diese dann jedoch automatisch laufen zu lassen, sollte man sich dann jedoch gut überlegen (wie oben und von Danny schon angesprochen).

 

Viele Grüße

olc

Link to comment

Dein Kommando würde den Benutzeraccount "aktivieren" (enable), jedoch nicht den Account Lockout aufheben.

 

Off-Topic:

Das erinnert mich an meinen Dozenten bei der MCSE Schulung, der partout behauptete sperren und deaktivieren wäre das Selbe. ;) Erst meine Aufforderung den Account doch mal mit der rechten Maustaste zu sperren produzierte Fragezeichen bei ihm.

 

Bye

Norbert

Link to comment

Als einzige praktikable Lösung komme ich nur auf das eine:

 

Benutzername: benutzer

Kennwort: -keines-

+ Kennwort läuft nie ab

 

Dafür muss man zwar die DefaultDomPolicy kurzfristig ändernm sodass -kein- Kennwort für einen Benutzer möglich ist, aber dann kann sich keiner beim Kennwort verschreiben, und da es eh jeder kennt.........

 

Ich danke Euch für die vielen Ideen und Grübeleien!!

Link to comment
Hi Danny,

 

Dein Kommando würde den Benutzeraccount "aktivieren" (enable), jedoch nicht den Account Lockout aufheben.

 

Es schwirren im Internet jedoch auch einige (VB)Scripts herum, die eine Entsperrung übernehmen. Diese dann jedoch automatisch laufen zu lassen, sollte man sich dann jedoch gut überlegen (wie oben und von Danny schon angesprochen).

 

Viele Grüße

olc

 

Hallo olc,

 

da muss ich dich leider entäuschen ;)

 

ist der Account deaktiviert, so wird er aktiviert.

Ist er gesperrt, so wird er entsperrt.

Hab es grade ausprobiert. :cool:

 

 

EDIT:

Zur Vervollständigung: Sollte Account locked und disabled sein so hebt er beim ersten Mal das disable auf.

Führt man ihn nochmal aus wird der lock ebenfalls entfernt.

Gruß

 

Danny

Link to comment

Hi,

 

da muss ich dich leider entäuschen ;)

 

Sollte dem so sein enttäuscht Du mich nicht. ;) Ich bin immer froh, etwas dazu zu lernen.

 

ist der Account deaktiviert, so wird er aktiviert.

Ist er gesperrt, so wird er entsperrt.

Hab es grade ausprobiert. :cool:

 

Ok, dann werde ich das auch noch einmal testen. Das wäre auf der einen Seite natürlich nicht schlecht, da man sich einige VBScripts sparen könnte, auf der anderen Seite jedoch nicht sehr konsistent.

Ich schaue mir das in den genannten Konstellationen noch einmal an. Danke für den Hinweis.

 

Viele Grüße

olc

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...