GPO: Kennwortrichtlinien,aber nicht für alle User

[mad-max79 11]

Hallo zusammen,

 

folgende Situation:

Wir wollen bei uns die Kennwortrichtlinien per GPO für unsere User verschärfen.

Kennwortrichtlinien sind ja in den GPOs über die Computerrichtlinien einzustellen.

 

Nun haben wir jedoch auch einige Windows Sammelanmeldekonten die jedoch nicht in die neuen Kennwortrichtlinien fallen sollen (PW muss Mindestlänge haben, PW läuft nach x Tagen ab usw).

 

Nun besteht ja die Möglichkeit im ADS bei den jeweiligen Konten einzustellen, dass ein Kennwort nie abläuft und das der User das Kennwort nicht ändern kann.

 

Funktionieren diese Einstellungen überhaupt, wenn wir die Kennwortrichtlinien abändern?

 

Welche Einstellungen haben dann Vorrang? Die GPO Kennwortrichtlinien oder die Einstellungen im ADS für die einzelnen Konten.

 

Danke für eure Hilfe...

[Dukel 439]

faq-o-matic.net » Mehrere Kennwortrichtlinien in einer Domäne

 

Das ist das, was du suchst.

[Sunny61 779]

Zusätzlich gibts auf gruppenrichtlinien.de auch einen Artikel dazu: Mehrere Kennwortrichtlinien mit Server 2008 - PSOs (Password Settings Object)

[dmetzger 10]

Funktionieren diese Einstellungen überhaupt, wenn wir die Kennwortrichtlinien abändern?

 

Selbstverständlich. Warum sollen sie es nicht tun?

 

Welche Einstellungen haben dann Vorrang? Die GPO Kennwortrichtlinien oder die Einstellungen im ADS für die einzelnen Konten.

 

Wenn in den AD-Kontoeigenschaften die Option "Kennwort läuft nie ab" gesetzt ist, hat das Vorrang gegenüber einer gegenteiligen Einstellung in der Kennwortrichtlinie (z.B. maximales Kennwortalter gleich 42 Tage).

 

Die Option "Kennwort läuft nie ab" wird z.B. für Dienstkonten verwendet.

 

Kennwortrichtlinien sind ja in den GPOs über die Computerrichtlinien einzustellen.

 

Genau genommen in der Standard-Domänenrichtlinie (und nur dort), wenn es um Kennwort- und Kontosperrrichtlinien für Domänenbenutzer-Konten geht.