carnivore 10 Geschrieben 1. August 2016 Melden Teilen Geschrieben 1. August 2016 Hallo, Sorry, wenn ich jetzt ggf. eine Anfängerfrage stelle. Ich will in meiner (Test-) Umgebung (DC 2012R2/ Clients Win10) einige Werte in der Kerberos Policy (GPO) ändern. Beispielsweise die Ticket Life Time für "User Tickets" oder "Service Tickets" runterdrehen. Ich mache das in der Default Domain Policy, in der auch "max. Passwordage" "min. Password Length" etc. definiert sind. Die Passwordrichtlinien werden vom Client angezogen, auch nach Veränderung. Die Kerberos Policy bleibt beim User hingegen wirkungslos bzw. wird nicht angezogen. Im gpresult wird die Kerberos Policy nicht mal angezeigt, DC und Client habe ich gebootet. Haben die Kerberos Policies keine Wirkung auf Clients/ User? Oder habe ich einen grundlegenden Verständnisfehler was die GPO-Verarbeitung (Default Domain Policy?) anbelangt? Ich habe nur immer am Rande mit GPOs in der Praxis zu tun. Wie verändert man dann domänenweit z.B. die Laufzeit der TGTs und Servicetickets. Merci Carnivore Zitieren Link zu diesem Kommentar
daabm 1.189 Geschrieben 1. August 2016 Melden Teilen Geschrieben 1. August 2016 (bearbeitet) Kennwort- und Kerberos-Policies, die mit der DOmäne verknüpft sind, werden nicht (und wurden noch nie) von Domain Membern verarbeitet - ausschließlich DCs machen das. Du willst ja auch nicht den Client konfigurieren, sondern die Domäne :-) bearbeitet 1. August 2016 von daabm Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 1. August 2016 Autor Melden Teilen Geschrieben 1. August 2016 Ich habe jetzt auch noch etwas rum probiert. Zumindest das TGT des Users wird nur beeinflusst, wenn die GPO auf die Member verlinkt ist. Ist die GPO nur auf die DCs verlinkt, hat das überahupt keinen Effekt auf die User TGTs. Session Tickets werde ich mir morgen ansehen. Mein Fehler oben war wohl, dass ich die Priosierung auf Domainebene bei meinen Policies vergessen hatte. Deine Anmerkung hat mich aber weiter gebracht! Merci carnivore Zitieren Link zu diesem Kommentar
NilsK 2.791 Geschrieben 2. August 2016 Melden Teilen Geschrieben 2. August 2016 Moin, Zumindest das TGT des Users wird nur beeinflusst, wenn die GPO auf die Member verlinkt ist. Ist die GPO nur auf die DCs verlinkt, hat das überahupt keinen Effekt auf die User TGTs. Session Tickets werde ich mir morgen ansehen. der Punkt dürfte hier wie auch bei den Kennwortrichtlinien sein, dass das GPO auf die Domäne gebunden sein muss, nicht nur auf die OU "Domain Controllers". Anderenfalls wirkein beide sich nicht aus. Dass formell betrachtet das GPO damit auch für alle Domänenmitglieder gilt, spielt dann keine Rolle. Es kommt nur darauf an, dass es auf den "Domain Head" wirkt. Siehe näherungsweise auch: [besonderheiten der AD-Kennwortrichtlinie | faq-o-matic.net]http://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/ Gruß, Nils Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 2. August 2016 Autor Melden Teilen Geschrieben 2. August 2016 danke für den Artikel! Again what learnt! btw: der Minasi Link ist tot. Mit GPOs habe ich nicht so wahnsinnig viel praktische Erfahrung. Ich habe eine eigene GPO mit den Settings erstellt und die ausschließlich auf Domain Ebene an oberster Stelle verlinkt. Dann ziehen jedenfalls die Kerberos Einstellungen. Aber ich habe nur wiegesagt eine klitzekleine Testumgebung ohne Anspruch auf Einhaltung von best practices. Ich bin nur für spezifische Settings zuständig. Regelkonform (hoffentlich) umsetzen werden es die Admins. Merci carnivore Zitieren Link zu diesem Kommentar
daabm 1.189 Geschrieben 2. August 2016 Melden Teilen Geschrieben 2. August 2016 Passt schon. Ist leider relativ schlecht dokumentiert, welche Besonderheiten GPOs haben, die an der Domäne selbst verlinkt sind :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.