Jump to content

Benutzer an Kennwortrichtlinie vorbei anlegen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

ich habe eine W2K3R2 Domain, mit einigen W2K8R2 DC drin, Functionlevel ist aber 2003 (Domain und Gesamtstruktur). Wir verwenden eine Kennwortrichtlinie (ich weiss für mehrere Kennwortrichtlinien brauche ich separate Domains unter 2003 oder ne 2008er Nativ Dimain). Wir haben eine bestimmte Konstellation wo wir gerne einige Benutzer an der Kennwortrichtlinie vorbei anlegen würden. Klar könnte ich in meiner Gruppenrichtlinie die Kennwortrichtlinie deaktivieren und die Benutzer anlegen, wenn das ein einmaliger Vorgang wäre kein Problem, aber ich denke es wird ein wiederkehrender Vorgang werden. Ich versuche eine Alternative zu einem Domain-Update auf komplett 2008R2 bzw. einer zweite Domain zu finden, wenn es eine Alternative überhaupt gibt. Vielleicht hat ja jemand hier so was schon mal realisiert. :D

Link zu diesem Kommentar

Moin,

 

Norbert meint sicher einen separaten Kennwortfilter, d.h. du würdest diesem die Arbeit geben und die Windows-Kennwortrichtlinie abschalten.

 

faq-o-matic.net Flexible Kennwortrichtlinien

 

Wozu soll es gut sein, Konten an der Kennwortrichtlinie vorbei anzulegen? Das kompromittiert die Sicherheit der ganzen Umgebung.

 

Gruß, Nils

Link zu diesem Kommentar

Um dir dabei jetzt eine hilfreiche Auskunft geben zu können, müßte man erstmal die genauen Gründe für deine Anforderung kennen. Denn eine zweite Domäne ist sicher ein Weg, aber der bedeutet auch, dass du zwei Serverlizenzen und damit zwei Windows Server Installationen mehr betreuen mußt. Und von gestiegener Komplexität bei der Administration und Rechtevergabe will ich mal noch nicht anfangen. ;)

 

Bye

Norbert

Link zu diesem Kommentar
Um dir dabei jetzt eine hilfreiche Auskunft geben zu können, müßte man erstmal die genauen Gründe für deine Anforderung kennen. Denn eine zweite Domäne ist sicher ein Weg, aber der bedeutet auch, dass du zwei Serverlizenzen und damit zwei Windows Server Installationen mehr betreuen mußt. Und von gestiegener Komplexität bei der Administration und Rechtevergabe will ich mal noch nicht anfangen. ;)

 

Bye

Norbert

 

wollte eigentlich ne neue Sub-Domain anlegen und keine zusätzlichen Server installieren, geht doch auch oder?

Link zu diesem Kommentar

Wenn HerrPaschulke keine zusätzlichen Server/DCs installieren und keine Aktualisierung der bestehenden W2K3R2 DCs durchführen möchte, bleiben ihm nur die erwähnten Dritthersteller-Werkzeuge.

 

Die von NorbertFe angeführten Argumente betreffend zusätzlichem Administrationsaufwand sollten nicht leichten Herzens weggewischt werden. Vor allem, wenn sich die betreffenden Benutzer an vielen verschiedenen Standorten anmelden sollen.

 

Ich hoffe, es geht bei diesen betreffenden Benutzern nicht darum, dass sie Einfach-Passwörter statt komplexer verwenden sollen/dürfen, sondern besonders sichere.

Link zu diesem Kommentar

Moin,

 

Ich hoffe, es geht bei diesen betreffenden Benutzern nicht darum, dass sie Einfach-Passwörter statt komplexer verwenden sollen/dürfen, sondern besonders sichere.

 

Off-Topic:

die Hoffnung weist dich als Optimisten aus ;), das ist aber doch eher unwahrscheinlich - besonders sichere Kennwörter dürften kaum mit der Windows-Richtlinie in Konflikt stehen, die ausgespruchen "lulli" ist.

 

Gruß, Nils

Link zu diesem Kommentar
Off-Topic:

die Hoffnung weist dich als Optimisten aus ;), das ist aber doch eher unwahrscheinlich - besonders sichere Kennwörter dürften kaum mit der Windows-Richtlinie in Konflikt stehen, die ausgespruchen "lulli" ist.

 

Wahrscheinlich hast Du Recht, ich bin eine zuversichtliche Person :cool:

 

Ich denke nur laut nach: Wenns in diesem Fall darum ginge, dass vor allem die Chefs keine komplexen Passwörter möchten, und man darum eine Subdomäne mit vielen zusätzlichen Domänencontrollern an vielen Standorten errichtet - nein, das kann nicht sein! Ich meine, das klingt ja wahnwitzig. :confused: Das wäre ein Paradebeispiel, wie Vorgesetzte (mit Zugriff auf wahrscheinlich besonders schützenswerte Daten) die IT-Sicherheit aufweichen und den Schutz ihres Geschäfts für den eigenen Komfort vernachlässigen, während die IT-Verantwortlichen des Unternehmens gehorsam und mit allen Mitteln folgen. Aber an so was mag ich als Optimist keineswegs glauben. :rolleyes:

Link zu diesem Kommentar

bei uns läuft eine Analyse für eine Portauthentifizierung und den Einsatz von RADIUS (ich bin da nicht so tief drin, macht bei uns eine andere Fraktion). Jedenfalls will man Drucker und andere Geräte die nicht im AD angelegt sind im AD anlegen, offensichtlich Username = MAC-Adresse & Passwort = MAC-Adresse. Also Username = Passwort.

 

Das ist das was dahinter hängt. Einmalig könnte man natürlich unsere vielen Drucker und Geräte anlegen aber im täglichen Business jedes mal die Kennwortrichtlinie abschalten müssen um einen "User" anzulegen ist eigentlich nicht zielführend.

Das Thema mit der Sicherheit darf natürlich auch nicht links liegen gelassen werden.

 

Ich wollte mich einfach mal schlau machen wie so was zu realisieren ist. AD seitig gibt es eben die 2-3 Möglichkeiten. Aber vielleicht muss man das ganze Konzept nochmal überarbeiten (wie gesagt, andere Fraktion ;-)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...