Jump to content

GPO Kontosperrungsrichtlinien werden nicht umgesetzt


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich beschäftige mich mittlerweile den halben Tag damit, die Kontosperrungsrichtlinien per GPO korrekt einzustellen, damit diese am Client auch umgesetzt werden.

 

Die GPO wurde auf Domänenebene erstellt und ist als Nr. 2 (nach der Default Domain Policy) gereiht.

 

Führe ich ein gpresult als Standarddomänenbenutzer auf einem Win7 oder XP Client aus, bekomme ich:

Angewendete Gruppenrichtlinienobjekte

--------------------------------------

EDV

Default Domain Policy

Kontosperrung

 

wobei folgende Einstellungen in "Kontosperrung" getätigt wurden:

Computerkonfig -> Windowseinstellungen -> Sicherheitseistellungen -> Kontorichtlinien -> Kontosperrungsrichtlinien:

 

Dort dann:

Kontosperrungsschwelle 3 ungültige Anmeldeveruche

Kontosperrdauer: 0 (Sperre sollte also vom Admin aufgehoben werden können)

Zurücksetzungsdauer: 30 Minuten

 

Leider jedoch kann ich mich zb sowohl von einem Windows XP (aktuellster Patchstand) als auch einem Windows 7 Pro x - fach "falsch" anmelden und der Useraccount wird nicht gesperrt.

 

Im Eventlog befinden sich keine Fehler. DNS und AD laufen fehlerfrei.

 

Führe ich rsop mit einem Adminuser (Domänenadmin) aus, sehe ich jedoch , dass die Kontosperrschwelle, Kontosperrdauer, Zurücksetzungsdauer auf nicht konfiguriert stehen.

 

Müsste das nicht konfiguriert sein?

 

Btw. kann es sein dass die Default Domain Policy mir die Kontosperrrichtlinien überschreibt?

 

Update: Hatte da wohl nen ordentlichen Denkfehler "drin". Die Policy muss vom DC umgesetzt werden (Danke Technetuser!), da ja der DC die Authentifizierung macht.

 

LG

Daniel

bearbeitet von mcdaniels
Zusätzliche Infos
Link zu diesem Kommentar

Hi,

 

die Anwendungsreihenfolge der Gruppenrichtlinien ist vermutlich falsch herum. Da in der Default Domain Policy vermutlich andere Einstellungen definiert sind, überschreibt diese die Kontensperrungs-GPO:

 

Angewendete Gruppenrichtlinienobjekte

--------------------------------------

EDV

Default Domain Policy

Kontosperrung

 

Du müßtest also die Priorität der "Kontosperrung" GPO hochsetzen.

 

Ansonsten noch der Hinweis, daß für Domänenkonten irrelevant ist, ob die Richtlinie auf den Mitglieds-Computern angewendet wurde. Sie muß auf den Domain Controllern angewendet werden, denn dort werden die Account geprüft / gesperrt usw.

 

P.S.: Ein besseres Namenskonzept für die GPOs (z.B. mit Versionsnummer, Hinweis ob Computer oder Benutzereinstellungen usw.) ist auch meist langfristig sinnvoll. ;)

 

Viele Grüße

olc

Link zu diesem Kommentar

Servus,

Ich habe das Ganze jetzt direkt in der Default Domain Policy entsprechend konfiguriert:

 

Computerkonfig > Windows Einstellungen > Kontosperrungsrichtlinien > Kontensperrungsschwelle > 3 ungültige Anmeldeversuche

 

Kontosperrdauer 0

 

Zurücksetzdauer des Kontosperrungszählers > 30 Minuten

 

Selbst wenn ich mich > 3x mit fehlerhaften Daten (Passwort) anmelde, wird der User nicht gesperrt.

 

Ich bekam auf Technet den Hinweis dass, wenn eine Kontensperrungsschwelle definiert ist, die Kontosperrdauer größer oder gleich der Zurücksetzungszeit sein muss.

 

D.h. wenn die Schwelle (Kontosperrdauer = 0), dann müsste an sich auch die Rücksetzdauer des KTO Sperrungszählers auf 0 sein. Allerdings ist eine Rücksetzdauer von 0 nicht möglich (erst ab Wert 1 ist ok).

 

D.h. ich könnte zb das Konto für 30 Minuten sperren (Kontosperrdauer = 30), damit wären die Werte für die Rücksetzdauer des KTO Sperrzählers und der KTO Sperrdauer gleich groß.

 

Wie schaffe ich es, dass das KTO aber gesperrt bleibt bis ein Admin die Sperre aufhebt. (Diese Konfiguration wäre dann ja gar nicht möglich)?

 

LG

Daniel

Link zu diesem Kommentar

Moin,

 

die Anwendungsreihenfolge der Gruppenrichtlinien ist vermutlich falsch herum. Da in der Default Domain Policy vermutlich andere Einstellungen definiert sind, überschreibt diese die Kontensperrungs-GPO:

 

das schon, aber solche Einstellungen sollte man wegen hart codierter Abhängigkeiten sogar nur in der DDP setzen:

 

faq-o-matic.net » Besonderheiten der AD-Kennwortrichtlinie

 

Kontosperrdauer 0[/Quote]

 

Meiner Erinnerung nach heißt das: Keine automatische Entsperrung, richtig? Müsste im Dialogfenster auch so angegeben werden.

 

Zurücksetzdauer des Kontosperrungszählers > 30 Minuten

 

OK.

 

Selbst wenn ich mich > 3x mit fehlerhaften Daten (Passwort) anmelde, wird der User nicht gesperrt.

 

Welcher User genau?

 

Ich bekam auf Technet den Hinweis dass, wenn eine Kontensperrungsschwelle definiert ist, die Kontosperrdauer größer oder gleich der Zurücksetzungszeit sein muss.

 

Wäre mir neu und glaube ich nicht. Hast du mal den genauen Link und den genauen Wortlaut?

 

Abgesehen davon, rate ich grundsätzlich von Kontensperrungen ab, weil sie ein super Einfallstor für einfachstes DOS sind. Aber das ist ein anderes Thema.

 

Gruß, Nils

Link zu diesem Kommentar

Guten Abend,

 

das schon, aber solche Einstellungen sollte man wegen hart codierter Abhängigkeiten sogar nur in der DDP setzen:

 

faq-o-matic.net » Besonderheiten der AD-Kennwortrichtlinie

 

Du hast Recht. Ich wollte diese Fragestellung nicht auch noch öffnen.

 

Meiner Erinnerung nach heißt das: Keine automatische Entsperrung, richtig? Müsste im Dialogfenster auch so angegeben werden.

 

Genau, "0" heißt "keine automatische Entsperrung":

This security setting determines the number of minutes a locked-out account remains locked out before automatically becoming unlocked. The available range is from 0 minutes through 99,999 minutes. If you set the account lockout duration to 0, the account will be locked out until an administrator explicitly unlocks it.

 

If an account lockout threshold is defined, the account lockout duration must be greater than or equal to the reset time.

 

 

Welcher User genau?

 

Nils stellt die vermutlich entscheidende Frage: Wenn Du es mit dem RID 500 Admin versuchst, wird dieser zumindest standardmäßig nicht gesperrt. Probiere es mit einem normalen Benutzer.

 

Abgesehen davon, rate ich grundsätzlich von Kontensperrungen ab, weil sie ein super Einfallstor für einfachstes DOS sind. Aber das ist ein anderes Thema.

 

+1

 

Domain Level Account Policies

"If the Account lockout threshold setting is defined, the Account lockout duration must be greater than or equal to the value for the Reset account lockout counter after setting."

 

Das bezieht sich nur auf die Konstellation, wenn eine "lockout duration" >0 definiert ist.

 

Viele Grüße

olc

Link zu diesem Kommentar

Hallo zusammen,

danke für die ausführlichen Antworten.

 

Der User der sich anmeldet ist ein Standard Domain - User.

 

Wie ich heute festgestellt habe, funktioniert die Sperrung offenbar nun. (ich habe aber keine Ahnung weshalb das nun so ist. Ich kann mir nicht vorstellen dass das AD so lange "gebraucht" hat, da es sich um eine simple Domäne mit 2 DCs handelt.)

 

Abgesehen davon, rate ich grundsätzlich von Kontensperrungen ab, weil sie ein super Einfallstor für einfachstes DOS sind. Aber das ist ein anderes Thema.

 

Du meinst also, dass mir alle User abgedreht werden könnten...

 

Was wäre die Alternative? (gar keine Kontosperrung in Kombination mit entsprechend sicheren Passwörtern bzw. einer guten Password Policy?)

 

Vielen Dank!

 

LG

Daniel

Link zu diesem Kommentar

Moin,

 

Ja, oder Zertifikatsbasierende Anmeldung. ;)

 

Genau. :)

 

Falls das "nicht so einfach" geht, mußt Du den Nutzen einer Kontensperrung gegen das Risiko bewerten.

Und ggf. ein IPS System und entsprechende Auditierung implementieren.

 

Rein technisch kann man das Problem nur "managen", nicht jedoch vollständig lösen.

 

PS: Ich könnte jetzt von Passwortfiltern anfangen, aber olc kennt die Diskussion schon. ;)

 

:D :jau:

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...