Jump to content
Sign in to follow this  
Lawe

RODC - Kennwortrichtlinie

Recommended Posts

Hallo Zusammen,

bei einem RODC wird die Anmeldung falls die Kennwörter nicht zwischengespeichert sind ja zu einem Normalen DC weitergeleitet. Auf diesem gelten ja die normalen Kennwortrichtlinien was sperren usw. betrifft.

 

Ist es per GPO oder so Möglich dass für Anmeldungen die über den RODC kommen andere Kennwortrichtlinien haben?

 

Gruß Lawe

Share this post


Link to post

1. Du erstellst eine Sicherheitsgruppe, für die Du die Zwischenspeicherung der Kennwörter auf dem betreffenden RODC zulässt.

2. Du erstellst eine granulare Kennwortrichtlinie (PSO) für diese Sicherheitsgruppe.

 

Diese Kennwortrichtlinie gilt für diese Gruppe bei Anmeldung an allen Domänencontrollern. Was nicht funktioniert, sind alternative Kennwortrichtlinien für Benutzer abhängig von Domänencontroller, an denen die Anmeldung erfolgt.

Share this post


Link to post

Moin,

 

Ist es per GPO oder so Möglich dass für Anmeldungen die über den RODC kommen andere Kennwortrichtlinien haben?

 

wozu sollte das gut sein?

 

Gruß, Nils

Share this post


Link to post
Moin,

 

 

 

wozu sollte das gut sein?

 

Gruß, Nils

Damit z.B. per Brute Force nicht willkürlich Konten gesperrt werden. Ich würde dann die Richtlinie so anpassen, dass nach 5 Versuchen das Konto für 30min gesperrt ist und danach automatisch wieder freigeschaltet wird. Dies passt natürlich nicht zu den bisherigen richtlinien.

Share this post


Link to post

Moin,

 

abgesehen davon, dass das die Kontensperrungsrichtlinie ist und nicht die Kennwortrichtlinie: Wo soll denn da der Sinn liegen?

 

Und nochmal davon abgesehen: Kontensperrung nach nur fünf Fehlversuchen ist quasi eine Einladung, DOS-Angriffe auszuführen.

 

Gruß, Nils

Share this post


Link to post

Mhhh Ok. Du meinst also einfach so lassen wie es ist ;-) Da ich den RODC nun in eine zweite dmz verschoben habe sollte da auch reichen. Zum Thema RODC und Sicherheit in der dmz findet man leider nicht viel detailliertes und Erfahrungsberichte...

Share this post


Link to post
1. Du erstellst eine Sicherheitsgruppe, für die Du die Zwischenspeicherung der Kennwörter auf dem betreffenden RODC zulässt.

2. Du erstellst eine granulare Kennwortrichtlinie (PSO) für diese Sicherheitsgruppe.

 

Diese Kennwortrichtlinie gilt für diese Gruppe bei Anmeldung an allen Domänencontrollern. Was nicht funktioniert, sind alternative Kennwortrichtlinien für Benutzer abhängig von Domänencontroller, an denen die Anmeldung erfolgt.

 

Danke, teste ich gleich morgen.

Share this post


Link to post

Moin,

 

mir ist nicht ganz klar, was du da eigentlich machst. Vielleicht kannst du ja bei Gelegenheit mal kundtun, was dein Ziel ist und welches Design du zu verwirklichen versuchst.

 

Gruß, Nils

Share this post


Link to post
Diese Kennwortrichtlinie gilt für diese Gruppe bei Anmeldung an allen Domänencontrollern.

 

Nach der Tageshektik möchte ich hier einen ruhigen Nachtrag anbringen.

 

Falls Du mehrere Standorte mit RODCs hast, solltest Du nicht für alle eine gemeinsame Sicherheitsgruppe mit erlaubter Zwischenspeicherung konfigurieren, sondern für jeden Standort mit RODCs eine dezidierte Sicherheitsgruppe für die RODCs an diesem Standort. Jede dieser Gruppe wird mit einem granularen Kennwortrichtlinie verknüpft, die wiederum die immer gleiche sein kann.

 

Wenn Du für alle RODCs an verschiedenen Standorten die gleiche Sicherheitsgruppe für die Zwischenspeicherung von Kennwörtern verwendest, müsstest Du für alle Mitglieder dieser Sicherheitsgruppe neue Kennwörter erstellen, wenn ein RODC lange Beine bekommt. Bei standortspezifischen Gruppen trifft es nur die Mitglieder der Gruppe eines Standortes.

Share this post


Link to post

Okay hier erst mal was zur Struktur:

 

Internet <-> dmz <-> rodc_dmz <-> Intranet

 

Die Netzte sind so abgesichert dass eine Kommunikation nur zum jeweils nächsten Netz kann. Zusätzlich dürfen nur bestimmte Systeme aus der dmz überhaupt auf die rodc_dmz.

 

In der dmz stehen X Applikations und Webserver. In der rodc_dmz steht nur der rodc. Geplant ist dass sich interne user die im AD sind an den Applikations und Webservern mit ihrem internen AD Konto an diesen Authentifizierne können. Zusätzlich werden Später noch ein paar Externe Benutzer dazu stoßen die wir ebenfalls über das ADS dann Pflegen möchten.

 

Ich glaube was die Kennwortrichtlinien und Kennwortsperrrichtlinien betrifft ist es am besten wenn ich das so lasse wie wir es haben.

Share this post


Link to post

Darüber wurde ja hier in Deinem anderen Thread bereits diskutiert:

 

http://www.mcseboard.de/active-directory-forum-79/rodc-dmz-171509.html

 

RODCs im Perimeter sind noch immer keine gute Idee. Wir haben kürzlich in Redmond ausführlich darüber diskutiert, und wir raten Kunden von solchen Konfigurationen ab. Wahrscheinlich deshalb gibt es auch wenig Dokumentation zu diesem Thema.

Share this post


Link to post
Darüber wurde ja hier in Deinem anderen Thread bereits diskutiert:

 

http://www.mcseboard.de/active-directory-forum-79/rodc-dmz-171509.html

 

RODCs im Perimeter sind noch immer keine gute Idee. Wir haben kürzlich in Redmond ausführlich darüber diskutiert, und wir raten Kunden von solchen Konfigurationen ab. Wahrscheinlich deshalb gibt es auch wenig Dokumentation zu diesem Thema.

Jep, da hast du recht. Wir suchen gerade noch alternativen. Solange müssen wir uns leider so damit behelfen. ist von MS Seite eigentlich etwas in diese Richtung geplant?

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...