Jump to content
Sign in to follow this  
leporello

Server Sicherheitseinstellungen

Recommended Posts

Hallo an alle Forum-Mitglieder,

 

ich mache gerade einige praktische Übungen im Bereich Sicherheitseinstellungen in meiner w2k Server (SP2) Testumgebung und bin in diesem Zusammehhang auf folgendes Problem gestoßen:

 

Ist-Zustand:

Domäne example.net mit dem DC server1

client1 (w2k Pro)

client1 ist Mitglied von OU Sales

User Jane Doe ist Mitglied von OU Sales

 

Aufgabe:

Einstellung einer Überwachungsrichtline (Anmeldeversuch überwachen, fehlgeschlagen) für client1

 

Aktion:

Einstellung der Richtlinie im (einzigen) GPO im Container Sales. Anmeldeversuch von Jane Doe an example.net mit falschem PW.

 

Ergebnis:

Fehlgeschlagene Anmeldung wird im Ereignisprotokoll nicht aufgezeichnet. Weder secedit /refreshpolicy MACHINE_POLICY noch der Reboot beider Rechner zeigen Wirkung.

 

Fehler-Tracking:

Wird die Überwachungsrichtlinie in der Default Domain Policy vorgenommnen, erfolgt die Aufzeichnung im Ereignisprotokoll erwartungsgemäß.

 

Mir ist klar, daß w2k Server in einer Domäne nur eine Domänenkontorichtrichtline zuläßt, so daß Kennwortrichtlinien und Kontosperrungsrichtlinien nur auf Domänen- nicht aber auf OU-Ebene eingestellt werden können. Ich habe leider keine Quelle dafür gefunden, daß dies auch für lokale Richtlinien (Überwachungsrichtlinien) Geltung hat. Der Resource-Kit (Planning Distributed Security, Group Policy Security Settings) gibt den Hinweis "... Of the security policy areas, Account policies and Public Key policies have domain-wide scope. All other policy areas can be specified at level of the organizational unit." Demnach müßte es für die Überwachungsrichtline funktionieren ... leider aber bei meinen Versuchen nicht.

 

Vielleicht hat jemand eine Idee, wo der Fehler liegt.

 

leporello

Share this post


Link to post
Share on other sites

@Christoph82

 

Vielleicht habe ich mich undeutlich ausgedrückt:

 

Die Überwachungsrichtline wird im GPO der OU Sales definiert. Zu diesem Zeitpunkt

ist die Überwachungsrichtlinie in der Default Domain Police nicht definiert.

 

Für das Fehler-Tracking wurde die gleiche Einstellung in der

Default Domain Police gesetzt und in der Organisationseinheit Sales deaktiviert.

 

leporello

Share this post


Link to post
Share on other sites

1. gpresult /c

 

Ergebnis:

 

The computer received "Security" settings from these GPOs

Default Domain Policy

Sicherheitsrichtlinie OU sales

 

Sicherheitsrichtlinie von GPO OU sales wird somit auf client1 angewendet. Jedoch bewirkt

die Definition der Überwachungsrichtlinie keinen Eintrag im Sicherheitsprotokoll des DC.

 

2. lokale Anmeldung an client1

 

Ergebnis:

 

Beim lokalen Anmeldversuch an client1 mit falschem PW wird das Ergeignis im lokalen Sicherheitsprotokoll von client1 aufgezeichnet.

 

Schlußfolgerung:

 

Es scheint, als gelte für lokale Richtlinien, Überwachungsrichtlinien die gleiche Regel wie für Kontorichtlinien:

 

1. Kontorichtlinien (Überwachungsrichtlinien) haben nur Auswirkungen auf Domänenkonten, wenn Sie auf Domänenebene festgelegt werden.

 

2. Ausnahme hiervon: Bei Konfiguration einer Kontorichtlinien (Überwachungsrichtlinie) für eine Organisationseinheit wirken sich die Einstellungen der Überwachungslinie auf die lokalen Richtlinien aller Computer aus, die sich innerhalb dieser Organisationseinheit befinden.

 

Zur Kontorichtlinie wird dies in dem Knowlegebase im Artikeln Q255550 - Configuring Account Policies in Active Directory dargelegt.

 

leporello

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

Werbepartner:



×
×
  • Create New...