Jump to content

RODC - Kennwortrichtlinie


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

bei einem RODC wird die Anmeldung falls die Kennwörter nicht zwischengespeichert sind ja zu einem Normalen DC weitergeleitet. Auf diesem gelten ja die normalen Kennwortrichtlinien was sperren usw. betrifft.

 

Ist es per GPO oder so Möglich dass für Anmeldungen die über den RODC kommen andere Kennwortrichtlinien haben?

 

Gruß Lawe

Link zu diesem Kommentar

1. Du erstellst eine Sicherheitsgruppe, für die Du die Zwischenspeicherung der Kennwörter auf dem betreffenden RODC zulässt.

2. Du erstellst eine granulare Kennwortrichtlinie (PSO) für diese Sicherheitsgruppe.

 

Diese Kennwortrichtlinie gilt für diese Gruppe bei Anmeldung an allen Domänencontrollern. Was nicht funktioniert, sind alternative Kennwortrichtlinien für Benutzer abhängig von Domänencontroller, an denen die Anmeldung erfolgt.

Link zu diesem Kommentar
1. Du erstellst eine Sicherheitsgruppe, für die Du die Zwischenspeicherung der Kennwörter auf dem betreffenden RODC zulässt.

2. Du erstellst eine granulare Kennwortrichtlinie (PSO) für diese Sicherheitsgruppe.

 

Diese Kennwortrichtlinie gilt für diese Gruppe bei Anmeldung an allen Domänencontrollern. Was nicht funktioniert, sind alternative Kennwortrichtlinien für Benutzer abhängig von Domänencontroller, an denen die Anmeldung erfolgt.

 

Danke, teste ich gleich morgen.

Link zu diesem Kommentar
Diese Kennwortrichtlinie gilt für diese Gruppe bei Anmeldung an allen Domänencontrollern.

 

Nach der Tageshektik möchte ich hier einen ruhigen Nachtrag anbringen.

 

Falls Du mehrere Standorte mit RODCs hast, solltest Du nicht für alle eine gemeinsame Sicherheitsgruppe mit erlaubter Zwischenspeicherung konfigurieren, sondern für jeden Standort mit RODCs eine dezidierte Sicherheitsgruppe für die RODCs an diesem Standort. Jede dieser Gruppe wird mit einem granularen Kennwortrichtlinie verknüpft, die wiederum die immer gleiche sein kann.

 

Wenn Du für alle RODCs an verschiedenen Standorten die gleiche Sicherheitsgruppe für die Zwischenspeicherung von Kennwörtern verwendest, müsstest Du für alle Mitglieder dieser Sicherheitsgruppe neue Kennwörter erstellen, wenn ein RODC lange Beine bekommt. Bei standortspezifischen Gruppen trifft es nur die Mitglieder der Gruppe eines Standortes.

Link zu diesem Kommentar

Okay hier erst mal was zur Struktur:

 

Internet <-> dmz <-> rodc_dmz <-> Intranet

 

Die Netzte sind so abgesichert dass eine Kommunikation nur zum jeweils nächsten Netz kann. Zusätzlich dürfen nur bestimmte Systeme aus der dmz überhaupt auf die rodc_dmz.

 

In der dmz stehen X Applikations und Webserver. In der rodc_dmz steht nur der rodc. Geplant ist dass sich interne user die im AD sind an den Applikations und Webservern mit ihrem internen AD Konto an diesen Authentifizierne können. Zusätzlich werden Später noch ein paar Externe Benutzer dazu stoßen die wir ebenfalls über das ADS dann Pflegen möchten.

 

Ich glaube was die Kennwortrichtlinien und Kennwortsperrrichtlinien betrifft ist es am besten wenn ich das so lasse wie wir es haben.

Link zu diesem Kommentar

Darüber wurde ja hier in Deinem anderen Thread bereits diskutiert:

 

http://www.mcseboard.de/active-directory-forum-79/rodc-dmz-171509.html

 

RODCs im Perimeter sind noch immer keine gute Idee. Wir haben kürzlich in Redmond ausführlich darüber diskutiert, und wir raten Kunden von solchen Konfigurationen ab. Wahrscheinlich deshalb gibt es auch wenig Dokumentation zu diesem Thema.

Link zu diesem Kommentar
Darüber wurde ja hier in Deinem anderen Thread bereits diskutiert:

 

http://www.mcseboard.de/active-directory-forum-79/rodc-dmz-171509.html

 

RODCs im Perimeter sind noch immer keine gute Idee. Wir haben kürzlich in Redmond ausführlich darüber diskutiert, und wir raten Kunden von solchen Konfigurationen ab. Wahrscheinlich deshalb gibt es auch wenig Dokumentation zu diesem Thema.

Jep, da hast du recht. Wir suchen gerade noch alternativen. Solange müssen wir uns leider so damit behelfen. ist von MS Seite eigentlich etwas in diese Richtung geplant?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...