Jump to content

Benutzer kann Kennwort ändern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

Ich hoffe sehr, dass mir hier jemand einen Tipp geben kann.

Folgendes:

AD auf einem Windows Server 2003. Alle Benutzer haben grundsätzlich das Häcklein gesetzt bei "Benutzer kann das Kennwort nicht ändern" und "Kennwort läuft nie ab".

Soweit sogut. Eigentlich soll das auch genau so sein.

Nun gibt es aber ein paar wenige User, bei denen kann ich das Häcklein bei "Benutzer kann das Kennwort nie ändern" setzen und Übernehmen und nach ca. 20 Minuten ist der Hacken wie von Geisterhand wieder entfernt.

Ich kann keinen Unterschied zu anderen Usern feststellen und Gruppenrichtlinien gibt es keine.

Was ist hier falsch resp. läuft falsch?

Hat jemand eine Idee?

 

Vielen Dank

grüsse

Beatrice

Link zu diesem Kommentar

Es muss in die Richtung des AdminSDHolder gehen, wie es carlito angedeutet hat, zumindest klingt es danach.

Alle betroffenen User sind in der Domänen-Admin Gruppe oder einer Gruppe mit Adminähnlichen rechten. (Operator, Organisationsadmins usw.) Zumindest hab ich bis jetzt keine anderen gefunden. Ich kann die aber nicht aus dieser Gruppe nehmen nur, nur damit die das Passwort nicht ändern können.

Leider kenn ich mich mit dem AdminSDHolder überhaupt nicht aus.

Ich möchte eigentlich lediglich das Häcklein drin haben und sonst nichts.:(

Link zu diesem Kommentar
Es muss in die Richtung des AdminSDHolder gehen, wie es carlito angedeutet hat, zumindest klingt es danach.

Alle betroffenen User sind in der Domänen-Admin Gruppe oder einer Gruppe mit Adminähnlichen rechten. (Operator, Organisationsadmins usw.) Zumindest hab ich bis jetzt keine anderen gefunden.

 

Ach was.

 

Ich kann die aber nicht aus dieser Gruppe nehmen nur, nur damit die das Passwort nicht ändern können.

 

Wirst du aber müssen, denn die andere Lösung (Anpassen des AdminSDHolders) ist noch bekloppter als deine. ;)

 

Leider kenn ich mich mit dem AdminSDHolder überhaupt nicht aus.

 

Nimm die Leute aus den geschützten Gruppen und Ruhe ist. Gibt es einen vernünftigen Grund, warum die in solchen Gruppen stecken müssen und dann auch noch ihr kennwort nicht ändern dürfen?

 

Ich möchte eigentlich lediglich das Häcklein drin haben und sonst nichts.:(

 

Tja so ist das mit dem wollen/möchten. Nicht alles was man will geht auch sinnvoll.

 

Bye

Norbert

Link zu diesem Kommentar

Es gibt sogar Gründe und auch noch gute Gründe warum die da drin sein müssen, aber Ihr Kennwort nicht ändern dürfen.

Und wie ich schon erwähnt habe, die gründe hier zu nennen bringt nichts und würde den Rahmen sprengen

Das hat weder was mit bekloppt noch mit dumm zu tun.

 

Aber ich seh schon, ich scheine im falschen Forum zu sein.

Hier wird man nur angepöbelt.

Ich hab um Ideen und Hilfe gebeten nicht um pöbelige Antworten.

 

Trotzdem Danke, denen, die helfen wollten.

Link zu diesem Kommentar

Hallo Carlito,

ja ich hab den Bericht gelesen. Werd aber nicht sooo ganz schlau draus. Aber es hört sich wirklich in die Richtuung an. Hab zwar inwischen Testhalber mal einem Druckadmin den Domänen-Admin weggenommen. Eigentlich hätte er nach mir jetzt nichts mehr drin, was laut Bericht den Haken wieder wegmachen würde. Hat aber nichts gebracht. Der Haken war wieder weg nach 20 Min.

Link zu diesem Kommentar

Ich gebe zu, das Thema AdminSDHolder kann verwirrend sein, wenn man sich zum ersten Mal damit beschäftigt. Eine Google Suche zu weiteren Artikeln hilft sicherlich. Stichworte: AdminSDHolder; admincount=1. Bsp.: AdminSDHolder - or where did my permissions go? und MSXFAQ.DE - AdminSDHolder, insbesondere die am Ende dort verlinkten KB Artikel.

Link zu diesem Kommentar

Moin,

 

Es gibt sogar Gründe und auch noch gute Gründe warum die da drin sein müssen, aber Ihr Kennwort nicht ändern dürfen.

 

das mag aus eurer Sicht so sein. Aus der Sicht von Windows-Spezialisten mit Erfahrung gibt es aber vor allem gute Gründe, die Kennwortsicherheit nicht einzuschränken - insbesondere bei hochprivilegierten Konten. Darauf nicht hinzuweisen, wäre fahrlässig.

 

Das hat weder was mit bekloppt noch mit dumm zu tun.

 

Die Wortwahl mag unglücklich gewesen sein. Zu kritisieren ist eure Konfiguration aber allemal.

 

Ich hab um Ideen und Hilfe gebeten

 

Die hattest du zu dem Zeitpunkt auch bereits bekommen, als die Kritik geäußert wurde.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...