AD und GPO

[Red Sector 10]

Jau *kratzamkopf*,

 

das mit der Computerebene ist richtig, deshalb funktioniert eine Benutzereinschränkung wie in meinem Vorschlag B wirklich nicht .

 

Aber...

<klugscheis*modus>

Mit Computerkonten würde es allerdings trotzdem funktionieren (empirisch bewiesen). Wenn Du einem Computerkonto das "Gruppenrichtlinie übernehmen" Recht verweigerst "friert" die Kennwortrichtlinie auf der Stufe ein, auf der sie das letzte mal vom DC zugewiesen wurde. Lokale Einstellungen sowie Änderungen an der Domänenrichtlinie werden ab diesem Zeitpunkt ignoriert.

</klugscheis*modus>

 

Ist zwar nicht die eleganteste Lösung... aber tut :)

 

Gruß

 

Red Sector

[grizzly999 11]

<Oberklugscheis*modus ON> :D

Geht aber so wie beschrieben immer noch nicht, habe es gerade ausprobiert (s.u.).

Ist auch irgendwie logisch, da zwar beim Verweigern der Übernahme des Default Domain GPO für eine bestimmte Workstation diese nicht mehr von dieser WS abgerufen wird, aber das Kennwort eines Domänenbenutzers nicht lokal, sondern auf dem DC geändert wird.

Es geht definitiv dann, auch gerade ausprobiert s.u., wenn man das Übernehmen der Default Domain GPO für die Gruppe der DomänenController verweigert. Die bekommen dann ja die geänderten Kontenrichtlinieneinstellungen nicht ab, aber damit ist dieser von dir beschriebene Einfrierzustand wieder für alle User gültig.

Ob das aber so günstig ist

<Oberklugscheis*modus OFF> :D

 

Versuchsaufbau:

1xDC Windows 2000 SP3

1xWS Woindows 2000 SP3

Eine OU namens Test eingerichtet

In diese OU das einzige WS-Konto verschoben

Einen Benutzer angelegt

 

Versuchsbeschreibung:

- Kennwortlänge mindestens 3 Zeichen -> User ändert Kennwort -> ok

- GPO DefaultDomainPolicy übernehmen für WS verweigert;

- secedit /refreshpolicy auf allen Rechnern

- Kennwortrichtlinie auf mind. 7 Zeichen geändert

- secedit /refreshpolicy auf allen Rechnern

- User will Kennwort in ein anderes mit 5 Zeichen ändern -> Fehlermeldung mit Hinweis auf mind. 7 Zeichen Länge

 

- GPO DefaultDomainPolicy übernehmen für DC verweigert

- secedit /refreshpolicy auf allen Rechnern

- Kennwortrichtlinie auf mind. 10 Zeichen geändert

- User will Kennwort in ein anderes mit 5 Zeichen ändern -> Fehlermeldung mit Hinweis auf mind. 7 Zeichen Länge

Ändern auf ein Kennwort mit 7 Zeichen möglich (also keine 10 mindestens)

 

q.e.d sagte man früher immer in Mathe.

 

Wenn du mir aber einen Versuchsaufbau nennst, mit dem ich das von dir beschriebene Verhalten erzeugen kann, will ich mich gerne überzeugen lassen.

 

grizzly999

[Red Sector 10]

Dein Versuch ist voll Korrekt!

 

Mein Experiment bezog sich lediglich auf Deinen 2. Versuch (DC-Variante), was in der Praxis natürlich nicht einsetzbar ist.

 

Aber wie ich schon weiter unten sagte: Vorschlag B kann man getrost vergessen. Die einzige Lösung bleibt Vorschlag A.

 

Gruß

Red Sector

[earth 10]

Also ich denk das wenn man die GPO auf jeden Rechner local einstellt dann werden die auch so benutzt aber weil der Admin nicht ausgeschlossen ist dann muss man das mit dem Kennwort äuft nie ab machen aber ich bin nicht sicher ob das dann geht

[Gast Iehova]

Hmm, kann man Richtlinien auf Domänenebene nicht weiter unten mit einer neuen Richtlinie und der Option "Kein Vorrang" übergehen?

 

Nachtrag: Aber ich befürchte das ändert auch nichts daran, dass es für den Computer und nicht für den Benutzer gilt, also geht wohl die Filterung gar nicht, höchstens auf Computerebene. *klack* Kapiert, glaub ich :)

[grizzly999 11]

Doch, Filterung geht, Unterbrechen der Vererbung geht, usw. geht, auch für ComputerSettings, auch für BenutzerSettings, ABER NICHT für Konten- und Kennwort- und Kerberosrichtlinien

Die machen eine Ausnahme.

Jetzt ist's drin, oder ?! :)

 

grizzly999