Jump to content
Sign in to follow this  
HerrPaschulke

Benutzer an Kennwortrichtlinie vorbei anlegen

Recommended Posts

Hi,

 

ich habe eine W2K3R2 Domain, mit einigen W2K8R2 DC drin, Functionlevel ist aber 2003 (Domain und Gesamtstruktur). Wir verwenden eine Kennwortrichtlinie (ich weiss für mehrere Kennwortrichtlinien brauche ich separate Domains unter 2003 oder ne 2008er Nativ Dimain). Wir haben eine bestimmte Konstellation wo wir gerne einige Benutzer an der Kennwortrichtlinie vorbei anlegen würden. Klar könnte ich in meiner Gruppenrichtlinie die Kennwortrichtlinie deaktivieren und die Benutzer anlegen, wenn das ein einmaliger Vorgang wäre kein Problem, aber ich denke es wird ein wiederkehrender Vorgang werden. Ich versuche eine Alternative zu einem Domain-Update auf komplett 2008R2 bzw. einer zweite Domain zu finden, wenn es eine Alternative überhaupt gibt. Vielleicht hat ja jemand hier so was schon mal realisiert. :D

Share this post


Link to post

Das geht nicht. Entweder die Möglichkeiten die du erwähntest (Update und Verwendung von PSO, oder mehrere Domains oder DEaktivieren der Richtlinie). Letzte Möglichkeit: Verwendung von 3rd Party Tools.

 

Bye

Norbert

Share this post


Link to post

Moin,

 

Norbert meint sicher einen separaten Kennwortfilter, d.h. du würdest diesem die Arbeit geben und die Windows-Kennwortrichtlinie abschalten.

 

faq-o-matic.net Flexible Kennwortrichtlinien

 

Wozu soll es gut sein, Konten an der Kennwortrichtlinie vorbei anzulegen? Das kompromittiert die Sicherheit der ganzen Umgebung.

 

Gruß, Nils

Share this post


Link to post

Um dir dabei jetzt eine hilfreiche Auskunft geben zu können, müßte man erstmal die genauen Gründe für deine Anforderung kennen. Denn eine zweite Domäne ist sicher ein Weg, aber der bedeutet auch, dass du zwei Serverlizenzen und damit zwei Windows Server Installationen mehr betreuen mußt. Und von gestiegener Komplexität bei der Administration und Rechtevergabe will ich mal noch nicht anfangen. ;)

 

Bye

Norbert

Share this post


Link to post
Um dir dabei jetzt eine hilfreiche Auskunft geben zu können, müßte man erstmal die genauen Gründe für deine Anforderung kennen. Denn eine zweite Domäne ist sicher ein Weg, aber der bedeutet auch, dass du zwei Serverlizenzen und damit zwei Windows Server Installationen mehr betreuen mußt. Und von gestiegener Komplexität bei der Administration und Rechtevergabe will ich mal noch nicht anfangen. ;)

 

Bye

Norbert

 

wollte eigentlich ne neue Sub-Domain anlegen und keine zusätzlichen Server installieren, geht doch auch oder?

Share this post


Link to post

Nein eine Subdomain braucht logischerweise einen DC. Verständlich soweit, oder? ;) Der zweite DC ist aber sinnvoll, denn wenn dein einer DC der Subdomain abkackt, dann ist die Subdomain wech...

 

Bye

Norbert

Share this post


Link to post

Wenn HerrPaschulke keine zusätzlichen Server/DCs installieren und keine Aktualisierung der bestehenden W2K3R2 DCs durchführen möchte, bleiben ihm nur die erwähnten Dritthersteller-Werkzeuge.

 

Die von NorbertFe angeführten Argumente betreffend zusätzlichem Administrationsaufwand sollten nicht leichten Herzens weggewischt werden. Vor allem, wenn sich die betreffenden Benutzer an vielen verschiedenen Standorten anmelden sollen.

 

Ich hoffe, es geht bei diesen betreffenden Benutzern nicht darum, dass sie Einfach-Passwörter statt komplexer verwenden sollen/dürfen, sondern besonders sichere.

Share this post


Link to post

Moin,

 

Ich hoffe, es geht bei diesen betreffenden Benutzern nicht darum, dass sie Einfach-Passwörter statt komplexer verwenden sollen/dürfen, sondern besonders sichere.

 

Off-Topic:

die Hoffnung weist dich als Optimisten aus ;), das ist aber doch eher unwahrscheinlich - besonders sichere Kennwörter dürften kaum mit der Windows-Richtlinie in Konflikt stehen, die ausgespruchen "lulli" ist.

 

Gruß, Nils

Share this post


Link to post
Nein eine Subdomain braucht logischerweise einen DC. Verständlich soweit, oder? ;) Der zweite DC ist aber sinnvoll, denn wenn dein einer DC der Subdomain abkackt, dann ist die Subdomain wech...

 

Bye

Norbert

 

ach so, das habe ich auch ausser Acht gelassen, dann brauche ich einige, für jeden Standort einen :shock:

Share this post


Link to post

Erklärst du vielleicht einfach nochmal, warum du meinst sowas mit Subdomains regeln zu müssen? Mir scheint, du hast dich jetzt irgendwie grad festgelegt ohne dir über die Konsequenzen im Klaren zu sein. ;)

 

Bye

Norbert

Share this post


Link to post
Off-Topic:

die Hoffnung weist dich als Optimisten aus ;), das ist aber doch eher unwahrscheinlich - besonders sichere Kennwörter dürften kaum mit der Windows-Richtlinie in Konflikt stehen, die ausgespruchen "lulli" ist.

 

Wahrscheinlich hast Du Recht, ich bin eine zuversichtliche Person :cool:

 

Ich denke nur laut nach: Wenns in diesem Fall darum ginge, dass vor allem die Chefs keine komplexen Passwörter möchten, und man darum eine Subdomäne mit vielen zusätzlichen Domänencontrollern an vielen Standorten errichtet - nein, das kann nicht sein! Ich meine, das klingt ja wahnwitzig. :confused: Das wäre ein Paradebeispiel, wie Vorgesetzte (mit Zugriff auf wahrscheinlich besonders schützenswerte Daten) die IT-Sicherheit aufweichen und den Schutz ihres Geschäfts für den eigenen Komfort vernachlässigen, während die IT-Verantwortlichen des Unternehmens gehorsam und mit allen Mitteln folgen. Aber an so was mag ich als Optimist keineswegs glauben. :rolleyes:

Share this post


Link to post

bei uns läuft eine Analyse für eine Portauthentifizierung und den Einsatz von RADIUS (ich bin da nicht so tief drin, macht bei uns eine andere Fraktion). Jedenfalls will man Drucker und andere Geräte die nicht im AD angelegt sind im AD anlegen, offensichtlich Username = MAC-Adresse & Passwort = MAC-Adresse. Also Username = Passwort.

 

Das ist das was dahinter hängt. Einmalig könnte man natürlich unsere vielen Drucker und Geräte anlegen aber im täglichen Business jedes mal die Kennwortrichtlinie abschalten müssen um einen "User" anzulegen ist eigentlich nicht zielführend.

Das Thema mit der Sicherheit darf natürlich auch nicht links liegen gelassen werden.

 

Ich wollte mich einfach mal schlau machen wie so was zu realisieren ist. AD seitig gibt es eben die 2-3 Möglichkeiten. Aber vielleicht muss man das ganze Konzept nochmal überarbeiten (wie gesagt, andere Fraktion ;-)

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...