mulch 0 Geschrieben 4. Mai 2017 Melden Teilen Geschrieben 4. Mai 2017 Hi @ all, ich hätte da mal eine Frage zur Einstellung von komplexen Passwortrichtlinen. 1.) Soll diese in der Default Domain Policy gesetzt werden oder sollte eine neue Policy erstellt werden? Hierzu gibt es ja verschiedene Meinungen! 2.) Ich hätte ein paar User/Rechner, bei denen diese Regeln nicht greifen sollten. Grundsätzlich geht es bei diesen Rechnern um die Passwortlänge. Wenn ich nun die Regeln in der DDP setze und bei diesem User "Passwort läuft nie ab" setze, greift dann die Regeln zu 100% nicht? 3.) Sind die lokalen Benutzerkonten auf den einzelnen Rechnern dann auch von der Änderung in der DDP betroffen? Falls ja, wie kann ich das unterbinden? 4.) Gibt es etwas, auf das unbedingt geachtet werden sollte? Thx, M. Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 4. Mai 2017 Melden Teilen Geschrieben 4. Mai 2017 Hi @ all, ich hätte da mal eine Frage zur Einstellung von komplexen Passwortrichtlinen. 1.) Soll diese in der Default Domain Policy gesetzt werden oder sollte eine neue Policy erstellt werden? Hierzu gibt es ja verschiedene Meinungen! Gibt es!EINSELF Meine ist, diese Einstellungen in der Default Domain Policy zu setzen. 2.) Ich hätte ein paar User/Rechner, bei denen diese Regeln nicht greifen sollten. Grundsätzlich geht es bei diesen Rechnern um die Passwortlänge. Wenn ich nun die Regeln in der DDP setze und bei diesem User "Passwort läuft nie ab" setze, greift dann die Regeln zu 100% nicht? Ja. Das hat aber nichts mit "Rechnern" zu tun, sondern mit den Nutzerkonten. 3.) Sind die lokalen Benutzerkonten auf den einzelnen Rechnern dann auch von der Änderung in der DDP betroffen? Ja, aber wer hat schon lokale Benutzerkonten (Mach das weg, das ist IIIEEE) Falls ja, wie kann ich das unterbinden? Mit einer Kennwortrichtlinie für die Computerkonten in den untergeordneten OUs. Ansonsten siehe oben Stichwort: Mach das weg. 4.) Gibt es etwas, auf das unbedingt geachtet werden sollte? Ja, dass man es richtig macht. ;) Bye Norbert Zitieren Link zu diesem Kommentar
mulch 0 Geschrieben 23. Mai 2017 Autor Melden Teilen Geschrieben 23. Mai 2017 @NorbertFE Bez. lokale Benutzerkonten. Es läuft auf jedem Rechner nur ein lokales Admin-Konto ... Ist das dann von der DDP betroffen? Thx, M. Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 23. Mai 2017 Melden Teilen Geschrieben 23. Mai 2017 Ja. Zitieren Link zu diesem Kommentar
mulch 0 Geschrieben 30. Mai 2017 Autor Melden Teilen Geschrieben 30. Mai 2017 Und wie kann ich das unterbinden, dass dieses PW geändert wird? Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 30. Mai 2017 Melden Teilen Geschrieben 30. Mai 2017 Due kannst einem Lokalen Admin nicht verbieten sein Password zu ändern. Zitieren Link zu diesem Kommentar
NilsK 2.786 Geschrieben 30. Mai 2017 Melden Teilen Geschrieben 30. Mai 2017 Moin, du wirfst ein paar Dinge durcheinander. Noch zu 1: Nur die DefDomPol. [besonderheiten der AD-Kennwortrichtlinie | faq-o-matic.net]https://www.faq-o-matic.net/2010/06/24/besonderheiten-der-ad-kennwortrichtlinie/ Zu 2: "Kennwort läuft nie ab" betrifft nur den erzwungenen Kennwortwechsel. Wenn der User aus eigenem Antrieb das Kennwort wechselt, muss dieses natürlich den Regeln (Länge, Komplexität) genügen. Zu 3 und zu deiner Nachfrage: Die Kennwortrichtlinie gilt für alle Rechner der Domäne, dort dann für die lokalen Konten. SIe hat aber nichts damit zu tun, dass ein Kennwort geändert wird oder nicht. Du könntest lokale Konten ebenso mit "läuft nie ab" kennzeichnen, um den automatischen Ablauf zu vermeiden (vielleicht ist es auch das, was du meintest). Wenn du innerhalb einer Domäne für verschiedene User unterschiedliche Policies brauchst, kannst du das mit Fine Grained Password Policies erledigen, zu dem Begriff findest du im Web einiges. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.