Andimann 10 Geschrieben 14. Februar 2011 Melden Teilen Geschrieben 14. Februar 2011 Hallo zusammen, ich bin gerade dabei, parallel zu einer alten Win 2003 Domain eine neue aufzubauen, und designe gerade neue GPOs, die sich natürlich an den Alten orientieren. Dort wurden damals (vor meiner Zeit in der Firma) einige Änderungen an den der "default domain controller policy" und der "default domain policy" vorgenommen (Kennwortrichtlinie, zusätzl. Benutzer bei "Anmelden als Dienst" oder "Anmelden als batch", etc.). Laut MS sollen diese Default GPOs ja nicht geändert werden. Erstelle ich eine zusätzliche GPO, die die gleichen Einstellungen festlegt, und priorisiere diese höher, gibt es doch sicherlich Probleme. Wie wird dieses Problem üblicherweise gelöst? Danke für Hilfe im voraus! Zitieren Link zu diesem Kommentar
NilsK 2.791 Geschrieben 14. Februar 2011 Melden Teilen Geschrieben 14. Februar 2011 Moin, das hängt von den zusätzlichen Einstellungen ab. Grundsätzlich lautet die Empfehlung, nur die Kennwortrichtlinien in der DDP zu definieren. Es ist nicht pauschal ein Problem, weitere GPOs zu definieren. Allgemein solltest du es vermeiden, in mehreren GPOs, die auf denselben Container wirken, Vorgaben zu denselben Einstellungen zu setzen. Gruß, Nils Zitieren Link zu diesem Kommentar
Andimann 10 Geschrieben 14. Februar 2011 Autor Melden Teilen Geschrieben 14. Februar 2011 (bearbeitet) Aber genau das ist ja das Problem, dass ich die gleichen Einstellungen definieren muss. Konkretes Beispiel: Laut default domain controller policy haben die User <domain>\ASPNET <domain>\SUPPORT_388945a0 NT AUTHORITY\LOCAL SERVICE das Recht, sich als Dienst anzumelden. Jetzt muss ich aber erreichen, dass ein weiterer manuell angelegter AD-User das auch darf, soll aber diese GPO nicht verändern. Also bleibt mir nur übrig, eine weitere GPO anzulegen und dem User dort das Recht zu erteilen. Diese neue GPO wird dann als zweites nach der default domain controller policy abgearbeitet. Wird dadurch nicht die erste Einstellung überschrieben, sodass die 3 User <domain>\ASPNET <domain>\SUPPORT_388945a0 NT AUTHORITY\LOCAL SERVICE nicht mehr das Recht haben sich als Dienst anzumelden und das AD läuft nicht mehr ordnungsgemäß??? Das gleiche Problem habe ich z.B. auch bei "Anmelden als Stapelverarbeitungsauftrag" oder "Einsetzen als Teil des Betriebssystems". Das Ändern der Kennwortrichtlinie in der default domain policy ist also legitim? Maximum password age von 42 Tagen ist auch arg krass, kann man den Benutzern ja kaum zumuten. bearbeitet 14. Februar 2011 von Andimann Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.