Jump to content

Server Sicherheitseinstellungen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo an alle Forum-Mitglieder,

 

ich mache gerade einige praktische Übungen im Bereich Sicherheitseinstellungen in meiner w2k Server (SP2) Testumgebung und bin in diesem Zusammehhang auf folgendes Problem gestoßen:

 

Ist-Zustand:

Domäne example.net mit dem DC server1

client1 (w2k Pro)

client1 ist Mitglied von OU Sales

User Jane Doe ist Mitglied von OU Sales

 

Aufgabe:

Einstellung einer Überwachungsrichtline (Anmeldeversuch überwachen, fehlgeschlagen) für client1

 

Aktion:

Einstellung der Richtlinie im (einzigen) GPO im Container Sales. Anmeldeversuch von Jane Doe an example.net mit falschem PW.

 

Ergebnis:

Fehlgeschlagene Anmeldung wird im Ereignisprotokoll nicht aufgezeichnet. Weder secedit /refreshpolicy MACHINE_POLICY noch der Reboot beider Rechner zeigen Wirkung.

 

Fehler-Tracking:

Wird die Überwachungsrichtlinie in der Default Domain Policy vorgenommnen, erfolgt die Aufzeichnung im Ereignisprotokoll erwartungsgemäß.

 

Mir ist klar, daß w2k Server in einer Domäne nur eine Domänenkontorichtrichtline zuläßt, so daß Kennwortrichtlinien und Kontosperrungsrichtlinien nur auf Domänen- nicht aber auf OU-Ebene eingestellt werden können. Ich habe leider keine Quelle dafür gefunden, daß dies auch für lokale Richtlinien (Überwachungsrichtlinien) Geltung hat. Der Resource-Kit (Planning Distributed Security, Group Policy Security Settings) gibt den Hinweis "... Of the security policy areas, Account policies and Public Key policies have domain-wide scope. All other policy areas can be specified at level of the organizational unit." Demnach müßte es für die Überwachungsrichtline funktionieren ... leider aber bei meinen Versuchen nicht.

 

Vielleicht hat jemand eine Idee, wo der Fehler liegt.

 

leporello

Link to comment

@Christoph82

 

Vielleicht habe ich mich undeutlich ausgedrückt:

 

Die Überwachungsrichtline wird im GPO der OU Sales definiert. Zu diesem Zeitpunkt

ist die Überwachungsrichtlinie in der Default Domain Police nicht definiert.

 

Für das Fehler-Tracking wurde die gleiche Einstellung in der

Default Domain Police gesetzt und in der Organisationseinheit Sales deaktiviert.

 

leporello

Link to comment

1. gpresult /c

 

Ergebnis:

 

The computer received "Security" settings from these GPOs

Default Domain Policy

Sicherheitsrichtlinie OU sales

 

Sicherheitsrichtlinie von GPO OU sales wird somit auf client1 angewendet. Jedoch bewirkt

die Definition der Überwachungsrichtlinie keinen Eintrag im Sicherheitsprotokoll des DC.

 

2. lokale Anmeldung an client1

 

Ergebnis:

 

Beim lokalen Anmeldversuch an client1 mit falschem PW wird das Ergeignis im lokalen Sicherheitsprotokoll von client1 aufgezeichnet.

 

Schlußfolgerung:

 

Es scheint, als gelte für lokale Richtlinien, Überwachungsrichtlinien die gleiche Regel wie für Kontorichtlinien:

 

1. Kontorichtlinien (Überwachungsrichtlinien) haben nur Auswirkungen auf Domänenkonten, wenn Sie auf Domänenebene festgelegt werden.

 

2. Ausnahme hiervon: Bei Konfiguration einer Kontorichtlinien (Überwachungsrichtlinie) für eine Organisationseinheit wirken sich die Einstellungen der Überwachungslinie auf die lokalen Richtlinien aller Computer aus, die sich innerhalb dieser Organisationseinheit befinden.

 

Zur Kontorichtlinie wird dies in dem Knowlegebase im Artikeln Q255550 - Configuring Account Policies in Active Directory dargelegt.

 

leporello

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...