drtest 10 Geschrieben 29. Januar 2010 Melden Teilen Geschrieben 29. Januar 2010 Hallo! Ich hab schon in verschiedenen Threats ueber die Passwortrichtlinien gelesen. Klar ist mir, dass diese Richtlinie in der DefaultDomain-Policy gesetzt wird und fuer alle User gilt. Da es ja in jeder Umgebung User gibt, bei denen es problematisch ist wenn sich dass Kennwort immer wieder aendert (Dienstuser; Sicherungsuser...) stellt sich mir folgende Frage: Wenn ich im AD dem User die Kontooptionen -> Benutzer kann das Kennwort nicht ändern und -> Kennwort läuft nie ab setze, überschreiben diese dann die Policy und die Passwörter brauchen bei diesen Usern nicht geändert zu werden, bzw. werden auch nicht dazu aufgefordert? Danke fuer Antworten. lg Martin Zitieren Link zu diesem Kommentar
NorbertFe 1.821 Geschrieben 29. Januar 2010 Melden Teilen Geschrieben 29. Januar 2010 Hallo!Ich hab schon in verschiedenen Threats ueber die Passwortrichtlinien gelesen. Die Passwortrichtlinien sind aber auch bedrohlich. ;) Wenn ich im AD dem User die Kontooptionen -> Benutzer kann das Kennwort nicht ändern und -> Kennwort läuft nie ab setze, überschreiben diese dann die Policy und die Passwörter brauchen bei diesen Usern nicht geändert zu werden, bzw. werden auch nicht dazu aufgefordert? Ich kann mir zwar nicht vorstellen, dass du die Antwort nicht im Internet finden konntest, aber ja wenn du den Haken setzt läuft das Passwort nie ab. Egal ob du in der Passwortrichtlinie einen Ablauf definiert hast. Bye Norbert PS: bei Serviceaccounts ist das trotzdem eher zwiespältig. Du solltest also einen manuellen Prozess zu Aktualisierung dieser Kennworte einführen. Zitieren Link zu diesem Kommentar
NilsK 2.790 Geschrieben 29. Januar 2010 Melden Teilen Geschrieben 29. Januar 2010 Moin, als Ergänzung: Ab Windows Server 2008 R2 gibt es "Managed Service Accounts", durch die das AD sich selbst um die Aktualisierung von Kennwörtern für Dienste kümmert. Gruß, Nils Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 29. Januar 2010 Melden Teilen Geschrieben 29. Januar 2010 ..... Klar ist mir, dass diese Richtlinie in der DefaultDomain-Policy gesetzt wird und fuer alle User gilt. ...Mir wurde mal eingebleut, lasse die Finger von der DefaultDomainPolicy, lege eine neue Richtlinie an und benenne diese eindeutig für Zweck, Aufgabe! Zitieren Link zu diesem Kommentar
NilsK 2.790 Geschrieben 29. Januar 2010 Melden Teilen Geschrieben 29. Januar 2010 Moin, Mir wurde mal eingebleut, lasse die Finger von der DefaultDomainPolicy, lege eine neue Richtlinie an und benenne diese eindeutig für Zweck, Aufgabe! bei der Kennwortrichtlinie leider nicht. Die sollte man tatsächlich direkt in der DefDomPol festlegen und nirgends sonst. Grund: Es gibt hartkodierte Funktionen im AD, die die Kennwortrichtlinie in den "Domain Head" schreiben (also das Domänenobjekt des AD) und umgekehrt Änderungen, die man direkt am Domain Head vornimmt, in die DefDomPol zurückschreiben. Aber eben nur in die DefDomPol und nicht in ein evtl. anderweitig definiertes GPO. Vergleiche: Mark Minasi's Reader Forum - Password Policy and the PDE Emulator Bei Gelegenheit blogge ich mal was dazu. Gruß, Nils Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 29. Januar 2010 Melden Teilen Geschrieben 29. Januar 2010 Dank für die Aufklärung. Wieso eigentlich nicht im Snapin Sicherheitsrichtlinie für Domänen das Gewünschte vornehmen? Zitieren Link zu diesem Kommentar
NilsK 2.790 Geschrieben 29. Januar 2010 Melden Teilen Geschrieben 29. Januar 2010 Moin, Wieso eigentlich nicht im Snapin Sicherheitsrichtlinie für Domänen das Gewünschte vornehmen? das ist Jacke wie Hose, weil es (soweit ich mich erinnere) nur ein Link auf den Sicherheitsteil der DefDomPol ist. Gruß, Nils Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 29. Januar 2010 Melden Teilen Geschrieben 29. Januar 2010 Danke schön Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.