Revi 10 Geschrieben 11. September 2008 Melden Teilen Geschrieben 11. September 2008 Hallo Leute, ich habe folgendes Problem: Es existiert eine WinS2003 Domäne, bei der die DefaultDomPolicy aussagt: Sperre den Benutzer nach 3-maliger Kennwort-Falscheingabe für 30 Minuten. Jetzt ist ein neues eigenständiges System hinzugekommen, welches zum Arbeiten einen Domänenbenutzer benötigt. Dieser Benutzer ist aber aus nicht erklärbaren Gründen alle paar Tage mal gesperrt, und wir finden nicht raus, wieso. Wir vermuten, dass irgendjemand damit rumspielt und dann das Kennwort gesperrt wird. Meine Frage: Ist es möglich zu konfigurieren, dass genau dieser eine Benutzer nicht gesperrt wird, wenn das KW zu oft falsch eingegeben wird? Bei DomAdmins ist das ja auch der Fall, aber wir finden keine Möglichkeit, dies auch so für diesen Benutzer festzulegen, ohne ihm DomAdmin Rechte zu geben... denn die Kontosperrichtlinien sind ja eigentlich Computerbezogene Einstellungen ?? Ich hoffe, mir kann jemand helfen *heul* Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 11. September 2008 Melden Teilen Geschrieben 11. September 2008 Hallo Revi, nein, das ist nicht möglich (siehe Aktives Verzeichnis Blog : Schutz vor Account Lockouts auch für andere Konten als "Administrator"?). Dort findest Du auch ggf. zwei Alternativen (Fine Grained Password Policies unter Windows Server 2008 oder die Domäne als Sicherheitsgrenze). Es gibt es ein paar Hersteller, die unter Windows Server 2003 diese Lücke schließen, so etwa Password Policy / Password Filter for stronger Windows Passwords . Grundsätzlich solltet Ihr vielleicht einfach prüfen, wer den Account Lockout verursacht und seid das Problem dann grundsätzlich los. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
NorbertFe 1.798 Geschrieben 11. September 2008 Melden Teilen Geschrieben 11. September 2008 Hallo Revi, nein, das ist nicht möglich (siehe Aktives Verzeichnis Blog : Schutz vor Account Lockouts auch für andere Konten als "Administrator"?). Dort findest Du auch ggf. zwei Alternativen (Fine Grained Password Policies unter Windows Server 2008 oder die Domäne als Sicherheitsgrenze). Es gibt es ein paar Hersteller, die unter Windows Server 2003 diese Lücke schließen, so etwa Password Policy / Password Filter for stronger Windows Passwords . Und damit kann man dann den Lockout anders konfigurieren? Grundsätzlich solltet Ihr vielleicht einfach prüfen, wer den Account Lockout verursacht und seid das Problem dann grundsätzlich los. ;) ACK. Bye Norbert Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 11. September 2008 Melden Teilen Geschrieben 11. September 2008 Hi, Und damit kann man dann den Lockout anders konfigurieren? Du meinst mit Specops? Ich habe das Programm nicht im Einsatz - aber soweit ich weiß ist das auf Benutzer oder Gruppenbasis (bzw. GPO-Filterung) möglich. http://www.specopssoft.com/wiki/uploads/SpecopsPasswordPolicy2/Configuration/GpoePasswordPolicyEdit3.jpg Viele Grüße olc Zitieren Link zu diesem Kommentar
Revi 10 Geschrieben 11. September 2008 Autor Melden Teilen Geschrieben 11. September 2008 Also das Problem ist, es geht um ein Spezielles System, das für 1,5 Mio€ angeschafft wurde und der Hersteller sagt, dass das mit dem "Sperren" nicht am System liegt sondern an der Domäne. Folgendes Szenario ist der Fall: Es gibt eine 2k3-Domäne, darin ist ein spezieller MemberServer. 500 Benutzer greifen auf eine Webseite zu, die dort gehostet wird. Dann kommt eine Abfrage nach Benutzername und Kennwort. 21 Benutzer haben einen Benutzer, der auf diesem / in diesem System eigens angelegt werden muss, der erhöhte Berechtigungen auf der WebSite hat. Die Restlichen können über einen Benutzer (benutzer, PW: benutzer) mit niederen Rechten darauf zugreifen. Wollte man jetzt das System "richtig" einrichten, müsste man HIER für jeden DomBenutzer einen identischen User in dem System anlegen und die Accounts "verknüpfen". Da wahrscheinlich mehrere User sich mal beim PW vertippen, wird der User "benutzer" des öfteren gesperrt. That's the problem :-( Zitieren Link zu diesem Kommentar
NorbertFe 1.798 Geschrieben 11. September 2008 Melden Teilen Geschrieben 11. September 2008 Also das Problem ist, es geht um ein Spezielles System, das für 1,5 Mio€ angeschafft wurde und der Hersteller sagt, dass das mit dem "Sperren" nicht am System liegt sondern an der Domäne. Also die Auskunft hätte ich dir auch geben können. ;) niederen Rechten darauf zugreifen. Wollte man jetzt das System "richtig" einrichten, müsste man HIER für jeden DomBenutzer einen identischen User in dem System anlegen und die Accounts "verknüpfen". Für 1,5Mio EUR. :) tolles Programm ;) Da wahrscheinlich mehrere User sich mal beim PW vertippen, wird der User "benutzer" des öfteren gesperrt. Also wenn die oben genannten Möglichkeiten das nicht bieten, siehts schlecht aus. Bye Norbert Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 11. September 2008 Melden Teilen Geschrieben 11. September 2008 Dieser Benutzer ist aber aus nicht erklärbaren Gründen alle paar Tage mal gesperrt, und wir finden nicht raus, wieso. Wir vermuten, dass irgendjemand damit rumspielt und dann das Kennwort gesperrt wird. Das Tool Lockoutstatus.exe aus dem Reskit, sowie die Security Eventlogs auf den DCs sollten dir auf der Suche nach dem Warum weiterhelfen cu blub Zitieren Link zu diesem Kommentar
Dr Kiffer 10 Geschrieben 11. September 2008 Melden Teilen Geschrieben 11. September 2008 Als kleiner Workaround könntest du in einem geplanten Task minütlich (oder so) das hier ausführen. Bedenke aber, dass dies ein Sicherheitsloch in euer Netzwerk ist. NET USER loginname /DOMAIN /ACTIVE:YES Gruß Danny Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 12. September 2008 Melden Teilen Geschrieben 12. September 2008 Hi Danny, Dein Kommando würde den Benutzeraccount "aktivieren" (enable), jedoch nicht den Account Lockout aufheben. Es schwirren im Internet jedoch auch einige (VB)Scripts herum, die eine Entsperrung übernehmen. Diese dann jedoch automatisch laufen zu lassen, sollte man sich dann jedoch gut überlegen (wie oben und von Danny schon angesprochen). Viele Grüße olc Zitieren Link zu diesem Kommentar
NorbertFe 1.798 Geschrieben 12. September 2008 Melden Teilen Geschrieben 12. September 2008 Dein Kommando würde den Benutzeraccount "aktivieren" (enable), jedoch nicht den Account Lockout aufheben. Off-Topic:Das erinnert mich an meinen Dozenten bei der MCSE Schulung, der partout behauptete sperren und deaktivieren wäre das Selbe. ;) Erst meine Aufforderung den Account doch mal mit der rechten Maustaste zu sperren produzierte Fragezeichen bei ihm. Bye Norbert Zitieren Link zu diesem Kommentar
Revi 10 Geschrieben 12. September 2008 Autor Melden Teilen Geschrieben 12. September 2008 Als einzige praktikable Lösung komme ich nur auf das eine: Benutzername: benutzer Kennwort: -keines- + Kennwort läuft nie ab Dafür muss man zwar die DefaultDomPolicy kurzfristig ändernm sodass -kein- Kennwort für einen Benutzer möglich ist, aber dann kann sich keiner beim Kennwort verschreiben, und da es eh jeder kennt......... Ich danke Euch für die vielen Ideen und Grübeleien!! Zitieren Link zu diesem Kommentar
Dr Kiffer 10 Geschrieben 12. September 2008 Melden Teilen Geschrieben 12. September 2008 Hi Danny, Dein Kommando würde den Benutzeraccount "aktivieren" (enable), jedoch nicht den Account Lockout aufheben. Es schwirren im Internet jedoch auch einige (VB)Scripts herum, die eine Entsperrung übernehmen. Diese dann jedoch automatisch laufen zu lassen, sollte man sich dann jedoch gut überlegen (wie oben und von Danny schon angesprochen). Viele Grüße olc Hallo olc, da muss ich dich leider entäuschen ;) ist der Account deaktiviert, so wird er aktiviert. Ist er gesperrt, so wird er entsperrt. Hab es grade ausprobiert. :cool: EDIT: Zur Vervollständigung: Sollte Account locked und disabled sein so hebt er beim ersten Mal das disable auf. Führt man ihn nochmal aus wird der lock ebenfalls entfernt. Gruß Danny Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 14. September 2008 Melden Teilen Geschrieben 14. September 2008 Hi, da muss ich dich leider entäuschen ;) Sollte dem so sein enttäuscht Du mich nicht. ;) Ich bin immer froh, etwas dazu zu lernen. ist der Account deaktiviert, so wird er aktiviert.Ist er gesperrt, so wird er entsperrt. Hab es grade ausprobiert. :cool: Ok, dann werde ich das auch noch einmal testen. Das wäre auf der einen Seite natürlich nicht schlecht, da man sich einige VBScripts sparen könnte, auf der anderen Seite jedoch nicht sehr konsistent. Ich schaue mir das in den genannten Konstellationen noch einmal an. Danke für den Hinweis. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.