carnivore 10 Geschrieben 1. August 2016 Melden Geschrieben 1. August 2016 Hallo, Sorry, wenn ich jetzt ggf. eine Anfängerfrage stelle. Ich will in meiner (Test-) Umgebung (DC 2012R2/ Clients Win10) einige Werte in der Kerberos Policy (GPO) ändern. Beispielsweise die Ticket Life Time für "User Tickets" oder "Service Tickets" runterdrehen. Ich mache das in der Default Domain Policy, in der auch "max. Passwordage" "min. Password Length" etc. definiert sind. Die Passwordrichtlinien werden vom Client angezogen, auch nach Veränderung. Die Kerberos Policy bleibt beim User hingegen wirkungslos bzw. wird nicht angezogen. Im gpresult wird die Kerberos Policy nicht mal angezeigt, DC und Client habe ich gebootet. Haben die Kerberos Policies keine Wirkung auf Clients/ User? Oder habe ich einen grundlegenden Verständnisfehler was die GPO-Verarbeitung (Default Domain Policy?) anbelangt? Ich habe nur immer am Rande mit GPOs in der Praxis zu tun. Wie verändert man dann domänenweit z.B. die Laufzeit der TGTs und Servicetickets. Merci Carnivore
daabm 1.431 Geschrieben 1. August 2016 Melden Geschrieben 1. August 2016 (bearbeitet) Kennwort- und Kerberos-Policies, die mit der DOmäne verknüpft sind, werden nicht (und wurden noch nie) von Domain Membern verarbeitet - ausschließlich DCs machen das. Du willst ja auch nicht den Client konfigurieren, sondern die Domäne :-) bearbeitet 1. August 2016 von daabm
carnivore 10 Geschrieben 1. August 2016 Autor Melden Geschrieben 1. August 2016 Ich habe jetzt auch noch etwas rum probiert. Zumindest das TGT des Users wird nur beeinflusst, wenn die GPO auf die Member verlinkt ist. Ist die GPO nur auf die DCs verlinkt, hat das überahupt keinen Effekt auf die User TGTs. Session Tickets werde ich mir morgen ansehen. Mein Fehler oben war wohl, dass ich die Priosierung auf Domainebene bei meinen Policies vergessen hatte. Deine Anmerkung hat mich aber weiter gebracht! Merci carnivore
NilsK 3.046 Geschrieben 2. August 2016 Melden Geschrieben 2. August 2016 Moin, Zumindest das TGT des Users wird nur beeinflusst, wenn die GPO auf die Member verlinkt ist. Ist die GPO nur auf die DCs verlinkt, hat das überahupt keinen Effekt auf die User TGTs. Session Tickets werde ich mir morgen ansehen. der Punkt dürfte hier wie auch bei den Kennwortrichtlinien sein, dass das GPO auf die Domäne gebunden sein muss, nicht nur auf die OU "Domain Controllers". Anderenfalls wirkein beide sich nicht aus. Dass formell betrachtet das GPO damit auch für alle Domänenmitglieder gilt, spielt dann keine Rolle. Es kommt nur darauf an, dass es auf den "Domain Head" wirkt. Siehe näherungsweise auch: [besonderheiten der AD-Kennwortrichtlinie | faq-o-matic.net]http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/ Gruß, Nils
carnivore 10 Geschrieben 2. August 2016 Autor Melden Geschrieben 2. August 2016 danke für den Artikel! Again what learnt! btw: der Minasi Link ist tot. Mit GPOs habe ich nicht so wahnsinnig viel praktische Erfahrung. Ich habe eine eigene GPO mit den Settings erstellt und die ausschließlich auf Domain Ebene an oberster Stelle verlinkt. Dann ziehen jedenfalls die Kerberos Einstellungen. Aber ich habe nur wiegesagt eine klitzekleine Testumgebung ohne Anspruch auf Einhaltung von best practices. Ich bin nur für spezifische Settings zuständig. Regelkonform (hoffentlich) umsetzen werden es die Admins. Merci carnivore
daabm 1.431 Geschrieben 2. August 2016 Melden Geschrieben 2. August 2016 Passt schon. Ist leider relativ schlecht dokumentiert, welche Besonderheiten GPOs haben, die an der Domäne selbst verlinkt sind :)
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden